Múltiples vulnerabilidades en productos Mitsubishi Electric

Múltiples vulnerabilidades en productos Mitsubishi Electric

Recursos Afectados
  • GT SoftGOT2000, versiones de la 1.275M a la 1.290C;
  • OPC UA data collector, versiones 1.04E y anteriores;
  • MX OPC Server UA (software empaquetado con MC Works64), versión 3.05F y posteriores (empaquetado con MC Works64 Version 4.03D y porteriores);
  • OPC UA server unit, todas las versiones;
  • FX5-OPC, versiones 1.006 y anteriores.
Descripción

Mitsubishi Electric ha reportado dos vulnerabilidades de severidad alta y una de severidad media, cuya explotación podría permitir a un atacante realizar una divulgación de información o provocar una condición de denegación de servicio (DoS).

4 – Alta
Solución

Mitsubishi Electric recomienda que los clientes tomen las siguientes medidas de mitigación para minimizar el riesgo de explotar las vulnerabilidades reportadas:

  • GT SoftGOT2000: actualizar el producto a la versión 1.295H o posterior.
  • OPC UA data collector: actualizar el producto a la versión 1.05F o posterior
  • MX OPC Server UA: llevar a cabo las medidas paliativas incluidas en el apartado «Mitigations» del artículo incluido en las referencias.
  • OPC UA server unit: llevar a cabo las medidas paliativas incluidas en el apartado «Mitigations» del artículo incluido en las referencias.
  • FX5-OPC: actualizar el producto a la versión 1.010F o posterior.
Detalle
  • Vulnerabilidad de denegación de servicio (DoS) debida a un Double Free (CWE-4153) al leer un archivo PEM. Se ha asignado el identificador CVE-2022-4450 para esta vulnerabilidad.
  • Se ha detectado una vulnerabilidad de divulgación de información y denegación de servicio (DoS) debida al acceso a un recurso utilizando un tipo incompatible, relacionada con el procesamiento de direcciones X.400 dentro de un GeneralName X.509. Se ha asignado el identificador CVE-2023-0286 para esta vulnerabilidad.
  • Vulnerabilidad de divulgación de información debido a la discrepancia de tiempo observable en implementaciones de descifrado RSA. Se ha asignado el identificador CVE-2022-4304 para esta vulnerabilidad.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.