ICS-CERT poinformował o podatności w produktach Delta Electronics, AVEVA oraz Schneider Electric.
Producent: Delta Electronics
Podatności:
- CVE-2019-10982 – przepełnienie bufora na stercie, może zostać wykorzystane przez przetwarzanie spreparowanych plików projektu, umożliwiając atakującemu zdalne wykonanie dowolnego kodu.
- CVE-2019-10992 – luka typu “out-of-bounds read” może prowadzić do ujawnienia informacji z powodu braku walidacji danych wejściowych użytkownika do przetwarzania plików projektu.
Podatne produkty:
- CNCSoft ScreenEditor, wersja 1.00.89 i wcześniejsze
Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-192-01
Producent: AVEVA / Schneider Electric
Podatności:
- CVE-2018-20031 – podatność umożliwiająca wywołanie odmowy usługi (DoS) związana z usuwaniem elementów blokujących w komponentach lmadmin.
- CVE-2018-20032 – podatność umożliwiająca wywołanie odmowy usługi (DoS) związana z dekodowaniem wiadomości w komponentach lmadmin.
- CVE-2018-20033 – podatność umożliwiająca zdalne wykonanie kodu, umożliwia zdalnemu atakującemu uszkodzenie pamięci poprzez przydzielenie/zwolnienie pamięci lub zatrzymanie komunikacji między lmadmin, a dostawcą.
- CVE-2018-20034 – podatność umożliwiająca wywołanie odmowy usługi (DoS) związana z dodaniem elementu do listy w komponentach lmadmin.
Podatne produkty:
- Floating License Manager, wersja 2.3.0.0 i wcześniejsze
Więcej informacji:
https://www.us-cert.gov/ics/advisories/icsa-19-192-05
https://www.us-cert.gov/ics/advisories/icsa-19-192-07
Producent: Schneider Electric
Podatności:
- CVE-2019-6827 – luka typu “out-of-bounds” może zostać wykorzystana przez aplikacje przetwarzającą spreparowany plik projektu. Istnieje możliwość spowodowania awarii oprogramowania, gdy dane w bazie mdb są manipulowane lub umożliwiają wykonanie kodu.
Podatne produkty:
- Interactive Graphical SCADA System (IGSS), wersja 14 i wcześniejsze
Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-192-06
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny