Schneider Electric informuje o nowych podatnościach w swoich produktach.(P24-080)

cert.pse-online.pl 9 miesięcy temu

12 marca 2024 r. firma Schneider Electric opublikowała porady dotyczące bezpieczeństwa, w których zwraca uwagę na luki w zabezpieczeniach następujących produktów:

  • EcoStruxure IT Gateway (1.20.x i wcześniejsze)
  • EcoStruxure Power Design
  • Easergy T200 Models
  • Modicon M340 CPU
  • Modicon M580 CPU
  • Harmony Control Relay
  • Harmony Timer Relay
Numer CVECVSSOpisProdukt/WersjaLink
CVE-2024-2050
CVE-2024-2051
CVE-2024-2052
8.2
9.8
7.5
CWE-79: Niewłaściwa neutralizacja danych wejściowych podczas generowania strony internetowej („skrypty między witrynami”) CWE-307: Niewłaściwe ograniczenie nadmiernych prób uwierzytelnienia CWE-552:Pliki lub katalogi dostępne dla stron zewnętrznych• Modele Easergy T200: T200I, T200E, T200P, T200S, T200H (Modbus) (wersja SC2-04MOD-07000104 i wcześniejsze) • Modele Easergy T200: T200I, T200E, T200P, T200S, T200H (IEC104) (wersja SC2-04IEC-07000104 i wcześniejsze) • Modele Easergy T200: T200I, T200E, T200P, T200S, T200H (DNP3) (wersja SC2-04DNP-07000104 i wcześniejsze)SEVD-2024-​072-01 (PDF)
CVE-2024-22297.8CWE-502: Deserializacja niezaufanych danych• EcoStruxure Power Design – Ecodial (Ecodial NL All Versions, Ecodial INT All Versions, Ecodial FR All Versions)SEVD-2024-​072-02 (PDF)
Firma Schneider Electric jest świadoma wielu luk w zabezpieczeniach serwera komunikacyjnego systemu wykonawczego CODESYS V3.• Kontroler HMISCU • Kontroler Modicon LMC058 • Kontroler Modicon LMC078 • Kontroler Modicon M218 • Kontroler Modicon M241 • Kontroler Modicon M251 • Kontroler Modicon M258 • Kontroler Modicon M262 • Kontrolery PacDrive 3: LMC Eco/Pro/Pro2 • SoftSPS wbudowany w EcoStruxure Machine Expert • Vijeo Designer wbudowany w EcoStruxure Machine Expert • Harmony (dawniej Magelis) Seria HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU, seria iPC ze środowiskiem wykonawczym Vijeo Designer • Easy Harmony HMIET6/HMIFT6 • Seria Magelis HMIGXU, XBTSEVD-2023-192-04 (V4.0) PDF
CVE-2023-25619
CVE-2023-25620
7.5
6.5
CWE-754: Niewłaściwa kontrola pod kątem nietypowych lub wyjątkowych warunków• Procesor Modicon M340 (numer części BMXP34*) (wersje wcześniejsze niż SV3.51) • Procesor Modicon M580 (numery części BMEP* i BMEH*) (wersje wcześniejsze niż V4.10) • Bezpieczeństwo procesora Modicon M580 (numery części BMEP58*S i BMEH58*S) (wszystkie wersje) • Procesor Modicon Momentum Unity M1E (171CBU*) (wszystkie wersje) • Starszy Modicon Quantum (140CPU65*) (wszystkie wersje) • Starsze procesory Modicon Premium (TSXP57*) (wszystkie wersje)SEVD-2023-101-05 (V2.0) PDF
CVE-2020-28895
CVE-2020-35198
CVE-2021-22156
7,5
9,8
9.8
Firma Schneider Electric jest świadoma istnienia wielu luk w zabezpieczeniach związanych z alokacją pamięci, zwanych „BadAlloc”, ujawnionych przez firmę Microsoft 29 kwietnia 2021 r. Pomyślne wykorzystanie tych luk może skutkować odmową usługi lub zdalnym wykonaniem kodu, w zależności od kontekstu.SEVD-2021-313-05 (V21.0) PDF
CVE-2020-25176
CVE-2020-25178
CVE-2020-25182
CVE-2020-25184
CVE-2020-25180
9,8
8,8 6,7 7,8 5.3
Schneider Electric jest świadomy wielu luk w zabezpieczeniach produktów ISaGRAF Workbench i ISaGRAF Runtime.• Easergy T300 • Easergy C5 • MiCOM C264 • PACiS GTW • EPAS GTW • SCADAPack 300E RTU • SCADAPack 53xE RTU • Stół warsztatowy SCADAPack • Oprogramowanie sprzętowe SCD2200 dla CP-3/MC-31 • SAGE RTU (procesor C3414, procesor C3413, procesor C3412) • Talus T4e Mk 1 (oprogramowanie sprzętowe A18.xx (wszystkie)) T4e Mk II i T4c (oprogramowanie sprzętowe A19.08 i starsze) • Procesor Modicon M580 (przed V3.20 – numery katalogowe BMEP* i BMEH*) • Bezpieczeństwo procesora Modicon M580 (numery katalogowe BMEP58*S i BMEH58*S, wszystkie wersje) • Procesor Modicon M340 (wersje wcześniejsze niż V3.50 – numery katalogowe BMXP34*)SEVD-2021-194-01 (V7.0) PDF
CVE-2023-6408
CVE-2023-6409
CVE-2023-27975
8,1 7,7 7,1 CWE-924: Niewłaściwe egzekwowanie integralności wiadomości podczas transmisji w kanale komunikacyjnym• Procesor Modicon M340 (numer części BMXP34*) • Procesor Modicon M580 (numery części BMEP* i BMEH*, z wyłączeniem bezpieczeństwa procesora M580) • Bezpieczeństwo procesora Modicon M580 (numery części BMEP58*S i BMEH58*S) • Ekspert w zakresie sterowania EcoStruxure • Ekspert ds. procesów EcoStruxureSEVD-2024-​044-01 (PDF)
​CVE-2024-0568​8,8CWE-798: Stosowanie zakodowanych na stałe danych uwierzytelniających• Harmony Control Relay RMNF22TB30 (Wszystkie wersje)
• Harmony Timer Relay RENF22R2MMW (Wszystkie wersje)
SEVD-2024-​044-02 (PDF)
CVE-2024-08657,8CWE-522: Niewystarczająco chronione dane uwierzytelniające• EcoStruxure IT Gateway (1.20.x i starsze)SEVD-2024-​044-03 (PDF)
CVE-2018-7842
CVE-2018-7843
CVE-2018-7844
CVE-2018-7845
CVE-2018-7846
CVE-2018-7847
CVE-2018-7848
CVE-2018-7849
CVE-2018-7850
CVE-2018-7852
CVE-2018-7853
CVE-2018-7854
CVE-2018-7855
CVE-2018-7856
CVE-2018-7857
CVE-2019-6806
CVE-2019-6807
CVE-2019-6808
CVE-2019-6809
CVE-2019-6828
CVE-2019-6829
CVE-2019-6830
5,3-10CWE-287: Niewłaściwe uwierzytelnienie• Modicon M340 • Modicon M580 • Modicon MC80 • Procesor Modicon Momentum Unity M1E (numer katalogowy 171CBU*) • Modicon Premium • Modicon Quantum • PLC Simulator dla EcoStruxure Control ExpertSEVD-2019-134-11 (V10.0) PDF
Idź do oryginalnego materiału