Schneider Electric informuje o nowych podatnościach w swoich produktach oraz aktualizuje starsze.(P23-077)

cert.pse-online.pl 1 rok temu

9 maja 2023 r. firma Schneider Electric opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w następujących produktach:

EcoStruxure Power Operation — wersje 2022, 2021 CU3 i wcześniejsze

EcoStruxure Power SCADA Operation – wersja 2020 i wcześniejsze

OPC Factory Server – wersje wcześniejsze niż V3.63SP2

PowerLogic ION7400 / PM8000 / ION9000 – wiele wersji i platform

Power SCADA Anywhere – wersja 1.1 i 1.2

Numer CVE

CVSS

Opis

Produkt/Wersja

Link

CVE-2023-2161

5.0

CWE-611: Niewłaściwe ograniczenie odwołania do jednostki zewnętrznej XML

• OPC Factory Server (OFS) (wersja przed V3.63SP2)

Link

Firma Schneider Electric jest świadoma istnienia wielu luk w produkcie AVEVA Plant SCADA, który jest częścią produktów EcoStruxure Power Operation, EcoStruxure Power SCADA Operation.

• EcoStruxure Power Operation (wersja 2022, wersje 2021 CU3 i wcześniejsze)

• Obsługa EcoStruxure Power SCADA (wersje 2020 R2 i wcześniejsze)

Link

CVE-2022-46680

8.8

CWE-319: Przesyłanie poufnych informacji jawnym tekstem

• PowerLogic ION9000, PowerLogic ION7400, PowerLogic PM8000 (sprzed wersji 4.0.0)

• PowerLogic ION8650 (wszystkie wersje)

• PowerLogic ION8800 (wszystkie wersje)

• Starsze produkty ION (wszystkie wersje)

Link

Firma Schneider Electric jest świadoma istnienia wielu luk w oprogramowaniu AVEVA Plant SCADA Access Anywhere, które jest opcjonalnym elementem produktów EcoStruxureTM Power Operation lub EcoStruxureTM Power SCADA Operation.

• EcoStruxureTM Power Operation lub EcoStruxureTM Power SCADA Operation skonfigurowany z Power SCADA Anywhere (Power SCADA Anywhere w wersji 1.1 i 1.2)

Link

CVE-2021-31400, CVE-2021-31401, CVE-2020-35683, CVE-2020-35684, CVE-2020-35685

Firma Schneider Electric jest świadoma wielu luk w komponencie innej firmy NicheStack TCP/IP firmy HCC Embedded, który jest zintegrowany z modułem komunikacyjnym Lexium ILE, ILA, ILS firmy Schneider Electric, modułem komunikacyjnym Altivar Profinet (VW3A3627), modułem komunikacyjnym Altivar i Lexium Ethernet TCP/IP (VW3A3616). ) oraz Altivar Profinet – karta komunikacyjna (VW3A3327).

• Wersja systemu układowego Lexium ILE ILA ILS (V01.110 i wcześniejsze)

Link

Firma Schneider Electric jest świadoma istnienia wielu luk w alokacji pamięci, nazwanych „BadAlloc”, ujawnionych przez firmę Microsoft 29 kwietnia 2021 r. Skuteczne wykorzystanie luk może skutkować odmową usługi lub zdalnym wykonaniem kodu, w zależności od kontekstu.

Link

Idź do oryginalnego materiału