MĂșltiples vulnerabilidades en productos Mitsubishi Electric

MĂșltiples vulnerabilidades en productos Mitsubishi Electric

Recursos Afectados
  • GT SoftGOT2000, versiones de la 1.275M a la 1.290C;
  • OPC UA data collector, versiones 1.04E y anteriores;
  • MX OPC Server UA (software empaquetado con MC Works64), versiĂłn 3.05F y posteriores (empaquetado con MC Works64 Version 4.03D y porteriores);
  • OPC UA server unit, todas las versiones;
  • FX5-OPC, versiones 1.006 y anteriores.
DescripciĂłn

Mitsubishi Electric ha reportado dos vulnerabilidades de severidad alta y una de severidad media, cuya explotaciĂłn podrĂ­a permitir a un atacante realizar una divulgaciĂłn de informaciĂłn o provocar una condiciĂłn de denegaciĂłn de servicio (DoS).

4 – Alta
SoluciĂłn

Mitsubishi Electric recomienda que los clientes tomen las siguientes medidas de mitigaciĂłn para minimizar el riesgo de explotar las vulnerabilidades reportadas:

  • GT SoftGOT2000: actualizar el producto a la versiĂłn 1.295H o posterior.
  • OPC UA data collector: actualizar el producto a la versiĂłn 1.05F o posterior
  • MX OPC Server UA: llevar a cabo las medidas paliativas incluidas en el apartado “Mitigations” del artĂ­culo incluido en las referencias.
  • OPC UA server unit: llevar a cabo las medidas paliativas incluidas en el apartado “Mitigations” del artĂ­culo incluido en las referencias.
  • FX5-OPC: actualizar el producto a la versiĂłn 1.010F o posterior.
Detalle
  • Vulnerabilidad de denegaciĂłn de servicio (DoS) debida a un Double Free (CWE-4153) al leer un archivo PEM. Se ha asignado el identificador CVE-2022-4450 para esta vulnerabilidad.
  • Se ha detectado una vulnerabilidad de divulgaciĂłn de informaciĂłn y denegaciĂłn de servicio (DoS) debida al acceso a un recurso utilizando un tipo incompatible, relacionada con el procesamiento de direcciones X.400 dentro de un GeneralName X.509. Se ha asignado el identificador CVE-2023-0286 para esta vulnerabilidad.
  • Vulnerabilidad de divulgaciĂłn de informaciĂłn debido a la discrepancia de tiempo observable en implementaciones de descifrado RSA. Se ha asignado el identificador CVE-2022-4304 para esta vulnerabilidad.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.