Argitalpen data: 2022/02/09
Garrantzia:Altua
Recursos afectados:
- ABB AbilityTM Symphony® Plus:
- SPIET800 - INFI-Net to Ethernet Transfer Module, firmwarearen A_B edo lehenagoko bertsio guztiak;
- PNI800 - S Ethernet communication interface module, firmwarearen A_B edo lehenagoko bertsio guztiak.
Azalpena:
Hainbat ahultasun baliatuz, gunearen kontrol sarera sarbidea lukeen erasotzaile batek zerbitzuaren ukapena eragin lezake.
Konponbidea:
ABBk bezero guztiei aholkatzen die beren instalazioak berraztertzea jakiteko ea gorago aipatutako produktu kalteturen bat erabiltzen ari diren.
- SPIET800 firmwarearen A_C bertsiora edo geroagoko batera eguneratzea (2022ko lehen hiruhilekorako aurreikusia).
- PNI800 firmwarearen A_C bertsiora edo geroagoko batera eguneratzea (2022ko lehen hiruhilekorako aurreikusia).
Eguneraketa egiterik ez dutenei gomendatzen zaie arintze neurriak eta gomendatutako ekintzak jarraitzea.
Xehetasuna:
- OoO paketeen kudeaketa desegokia baliatuz erasotzaile batek zerbitzuaren ukapena eragin lezake sistema berrabiatu arte, eta horrela gailuak Ethernet-en oinarritutako edozein eskaerari erantzuteari utziko lioke. Ahultasun horretarako CVE-2021-22285 identifikatzailea erabili da.
- Baliagarriak ez diren balioekin formateatutako IET protokoloko paketeen kudeaketa desegokia baliatuz, erasotzaile batek zerbitzuaren ukapena eragin lezake sistema berrabiatu arte. Ahultasun horretarako CVE-2021-22286 identifikatzailea erabili da.
- Ustekabeko trafiko mota jakin batzuk bidaltzea baliatuz, erasotzaile batek zerbitzuaren ukapena eragin lezake sistema berrabiatu arte. Ahultasun horretarako CVE-2021-22288 identifikatzailea erabili da.
Etiketak:Eguneraketa, Azpiegitura kritikoak, Ahultasuna
