Podatności i aktualizacje do produktów firmy PHOENIX CONTACT (P23-121)

cert.pse-online.pl 1 rok temu
ProduktFL MGUARD 2102 <= 10.1.1
FL MGUARD 4102 PCI <= 10.1.1
FL MGUARD 4102 PCIE <= 10.1.1
FL MGUARD 4302 <= 10.1.1
FL MGUARD CENTERPORT <= 8.9.0
FL MGUARD CENTERPORT VPN-1000 <= 8.9.0
FL MGUARD CORE TX <= 8.9.0
FL MGUARD CORE TX VPN <= 8.9.0
FL MGUARD DELTA TX/TX <= 8.9.0
FL MGUARD DELTA TX/TX VPN <= 8.9.0
FL MGUARD GT/GT <= 8.9.0
FL MGUARD GT/GT VPN <= 8.9.0
FL MGUARD PCI4000 <= 8.9.0
FL MGUARD PCI4000 VPN <= 8.9.0
FL MGUARD PCIE4000 <= 8.9.0
FL MGUARD PCIE4000 VPN <= 8.9.0
FL MGUARD RS2000 TX/TX-B <= 8.9.0
FL MGUARD RS2000 TX/TX VPN <= 8.9.0
FL MGUARD RS2005 TX VPN <= 8.9.0
FL MGUARD RS4000 TX/TX-M <= 8.9.0
FL MGUARD RS4000 TX/TX-P <= 8.9.0
FL MGUARD RS4000 TX/TX VPN <= 8.9.0
FL MGUARD RS4000 TX/TX VPN <= 8.9.0
FL MGUARD RS4004 TX/DTX <= 8.9.0
FL MGUARD RS4004 TX/DTX VPN <= 8.9.0
FL MGUARD SMART2 <= 8.9.0
FL MGUARD SMART2 VPN <= 8.9.0
Numer CVECVE-2022-4304
Krytyczność5,9/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisW implementacji OpenSSL RSA Decryption istnieje kanał boczny oparty na czasie, który może wystarczyć do odzyskania zwykłego tekstu w sieci w ataku typu Bleichenbacher. Aby osiągnąć pomyślne odszyfrowanie, osoba atakująca musiałaby być w stanie wysłać bardzo dużą liczbę wiadomości próbnych w celu odszyfrowania. Luka dotyczy wszystkich trybów wypełniania RSA: PKCS#1 v1.5, RSA-OEAP i RSASVE. Na przykład w połączeniu TLS RSA jest często używany przez klienta do wysyłania zaszyfrowanego klucza tajnego przed wzorcem do serwera. Osoba atakująca, która zauważyła rzeczywiste połączenie między klientem a serwerem, może wykorzystać tę lukę do wysłania próbnych wiadomości do serwera i zarejestrowania czasu potrzebnego do ich przetworzenia. Po wysłaniu wystarczająco dużej liczby wiadomości osoba atakująca może odzyskać klucz przedwzorcowy użyty do pierwotnego połączenia, a tym samym odszyfrować dane aplikacji przesyłane tym połączeniem.
Numer CVECVE-2023-2673
Krytyczność5,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L
OpisLuka w zabezpieczeniach związana z nieprawidłowym sprawdzaniem poprawności danych wejściowych w PHOENIX CONTACT FL/TC MGUARD Family w wielu wersjach może pozwolić pakietom UDP na ominięcie reguł filtrowania i dostęp do jedynego podłączonego urządzenia znajdującego się za MGUARD, które może zostać użyte do ataków typu flooding.
AktualizacjaTAK
Linkhttps://cert.vde.com/en/advisories/VDE-2023-010/
Idź do oryginalnego materiału