Mitsubishi Electric informuje o nowej podatności w swoich produktach-07.03.23
cert.pse-online.pl 1 rok temu
Produkt
GENESIS64TM : Wersja 10.97.2
Numer CVE
CVE-2022-3602 CVE-2022-3786
Krytyczność
5.9/10
CVSS
AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
W bibliotece OpenSSL, która jest zainstalowana w GENESIS64TM, istnieje wiele luk w zabezpieczeniach typu Denial-of-Service (DoS) spowodowanych kopiowaniem bufora bez sprawdzania rozmiaru danych wejściowych (CWE-120). Importowanie cyfrowego certyfikatu X.509 stworzonego przez złośliwą osobę atakującą do funkcji bezpiecznego łączenia BACnet® przy użyciu biblioteki OpenSSL, której dotyczy problem, może spowodować stan odmowy usługi (DoS) (CVE-2022-3602, CVE-2022-3786). Należy pamiętać, iż ta funkcja jest zainstalowana w GENESIS64TM jako wersja beta i jest wyłączona w domyślnej konfiguracji. Luki te nie mają wpływu, chyba iż funkcja zostanie wyraźnie włączona.