Fecha de publicaciĂłn: 05/08/2021
Importancia:
CrĂtica
Recursos afectados:
- Versiones anteriores a 2021.0.5 LTS de los productos:
- AXC F 1152,
- AXC F 2152,
- AXC F 3152,
- RFC 4072S,
- AXC F 2152 Starterkit,
- PLCnext Technology Starterkit.
- Activation Wizard, versiĂłn 1.4 y anteriores;
- PC Worx Engineer y PLCNEXT ENGINEER EDU LIC (cĂłdigos de licencia), versiĂłn 2021.06 y anteriores;
- FL Network Manager, versiĂłn 5.0 y anteriores;
- cĂłdigos de licencia de E-Mobility Charging Suite para EV Charging Suite Setup, versiĂłn 1.7.3 y anteriores;
- IOL-CONF, versiĂłn 1.7.0 y anteriores;
- FL MGUARD DM, versiones:
- 1.12.0,
- 1.13.0.
DescripciĂłn:
El investigador, Oliver Carrigan de Dionach, y la empresa Tenable, todos ellos coordinados por el CERT@VDE, han identificado mĂșltiples vulnerabilidades (1 crĂtica y 3 altas) en distintos productos de Phoenix Contact y WIBU Systems que han reportado a los respectivos fabricantes.
SoluciĂłn:
- Productos afectados por CVE-2021-34570, actualizar:
- Productos afectados por CVE-2021-20093 y CVE-2021-20094: actualizar a Codemeter V7.21a;
- Actualizar FL MGUARD DM a la versiĂłn 1.13.0.1 u otra posterior.
Detalle:
- La vulnerabilidad afecta a la comunicaciĂłn TCP/IP de CodeMeter License Server. El envĂo de paquetes especialmente diseñados podrĂa hacer que CodeMeter License Server se bloquee o lea datos de la memoria heap. Se ha asignado el identificador CVE-2021-20093 para esta vulnerabilidad crĂtica.
- La vulnerabilidad afecta a la comunicaciĂłn con el servidor CodeMeter CmWAN. El envĂo de peticiones HTTP(S) especialmente diseñadas al servidor CmWAN puede provocar la caĂda de CodeMeter License Server. El servidor CmWAN estĂĄ desactivado por defecto. Se ha asignado el identificador CVE-2021-20094 para esta vulnerabilidad alta.
- Un dispositivo en la misma red que el controlador que envĂa una solicitud JSON especialmente diseñada al endpoint /auth/access-token podrĂa causar el reinicio del controlador. Se ha asignado el identificador CVE-2021-34570 para esta vulnerabilidad alta.
- Los usuarios no autorizados podrĂan descargar los perfiles de configuraciĂłn de mGuard desde el servidor web Apache sin proporcionar credenciales. Se ha asignado el identificador CVE-2021-34579 para esta vulnerabilidad alta.
Etiquetas:
ActualizaciĂłn, Apache, Comunicaciones, Infraestructuras crĂticas, IoT, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.