Fecha de publicaciĂłn: 26/07/2021
Importancia:
Alta
Recursos afectados:
- CODESYS EtherNetIP, versiones desde V3.5.16.0 hasta V4.1.0.0;
- CODESYS Development System V3, todas las versiones anteriores a V3.5.17.10;
- CODESYS Edge Gateway para Linux, todas las versiones anteriores a V4.2.0.0;
- CODESYS Control V3 Runtime System Toolkit, todas las versiones anteriores a V3.5.17.10;
- CODESYS Control V3 Runtime System Toolkit, todas las versiones anteriores a V4.2.0.0, en los productos:
- CODESYS Control for BeagleBone SL,
- CODESYS Control for emPC-A/iMX6 SL,
- CODESYS Control for IOT2000 SL,
- CODESYS Control for Linux SL,
- CODESYS Control for PLCnext SL,
- CODESYS Control for PFC100 SL,
- CODESYS Control for PFC200 SL,
- CODESYS Control for Raspberry Pi SL y
- CODESYS Control for WAGO Touch Panels 600 SL.
- CODESYS Development System, todas las versiones anteriores a V3.5.17.10;
- CODESYS Edge Gateway para Windows, todas las versiones anteriores a V3.5.17.10; y
- CODESYS Gateway V3, todas las versiones anteriores a V3.5.17.10.
DescripciĂłn:
Codesys ha publicado 3 vulnerabilidades de severidad alta y 1 de severidad media, que podrĂan permitir a un atacante tener acceso de lectura a archivos privados que pueden contener identificaciones de usuarios o hash de contraseñas, establecer una condiciĂłn de denegaciĂłn de servicio o manipular archivos.
SoluciĂłn:
Para el producto CODESYS EtherNetIP, actualizar a la versiĂłn V4.1.0.0.
Para el resto de productos, actualizar el software, segĂșn corresponda, a la versiĂłn V3.5.17.10 u otra superior, o a la versiĂłn V4.2.0.0, que estarĂĄ disponible en agosto.
Detalle:
- Una vulnerabilidad de deserializaciĂłn de datos no confiables en CODESYS Development System podrĂa permitir a un atacante modificar archivos locales de configuraciĂłn o instalaciĂłn de CODESYS, al no verificar suficientemente los datos. Se han asignado los identificadores CVE-2021-21863, CVE-2021-21864, CVE-2021-21865, CVE-2021-21866, CVE-2021-21867, CVE-2021-21868, CVE-2021-21869 para esta vulnerabilidad.
- Una vulnerabilidad de referencia a puntero nulo podrĂa permitir a un atacante causar una condiciĂłn de denegaciĂłn de servicio mediante el envĂo de solicitudes de comunicaciĂłn manipuladas. Se ha asignado el identificador CVE-2021-36764 para esta vulnerabilidad.
- Las solicitudes especĂficas del servidor web pueden tener acceso de lectura a archivos privados, que pueden contener identificaciones de usuario y contraseñas y contraseñas. Se ha asignado el identificador CVE-2021-36763 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-36765.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.