ICS-CERT informuje o nowych podatnościach w produktach firmy Hitachi Energy

utworzone przez | mar 1, 2023 | ICS

ProduktGateway Station – wiele wersji
Numer CVECVE-2020-25692
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisW wersjach OpenLDAP, których dotyczy problem, znaleziono dereferencję wskaźnika o wartości NULL. Nieuwierzytelniony atakujący może zdalnie zawiesić proces slapd, wysyłając specjalnie spreparowane żądanie, powodując stan odmowy usługi w funkcji uwierzytelniania użytkownika.
  
Numer CVECVE-2022-0778
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisIstnieje luka w zabezpieczeniach funkcji BN_mod_sqrt() OpenSSL, która oblicza modułowy pierwiastek kwadratowy zawierający błąd, który może spowodować, że funkcja zapętli się w nieskończoność dla modułów innych niż pierwsze. Wewnętrznie ta funkcja jest używana podczas analizowania certyfikatów zawierających klucze publiczne krzywej eliptycznej w postaci skompresowanej lub jawne parametry krzywej eliptycznej z punktem bazowym zakodowanym w postaci skompresowanej. Pomyślne wykorzystanie może spowodować stan odmowy usługi.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-059-01
ProduktGateway Station – wiele wersji
Numer CVECVE-2022-2277
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisW stosie ICCP istnieje luka spowodowana błędem sprawdzania poprawności w procesie nawiązywania komunikacji ICCP. Luka sprawdzania poprawności spowoduje stan odmowy usługi, gdy ICCP SYS600 zostanie poproszony o przekazanie wszelkich aktualizacji elementów danych ze znacznikami czasu w zbyt odległej przyszłości. Domyślnie protokół ICCP nie jest skonfigurowany ani włączony.
  
Numer CVECVE-2022-29922
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisIstnieje luka w obsłudze specjalnie spreparowanych pakietów IEC 61850 z prawidłowym elementem danych, ale nieprawidłowym typem danych w serwerze OPC IEC 61850. Luka może spowodować stan odmowy usługi w komponencie IEC 61850 OPC Server produktu GWS.
  
Numer CVECVE-2022-1778
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisPodczas uruchamiania GWS występuje luka w zabezpieczeniach polegająca na błędzie sprawdzania poprawności danych wejściowych, powodująca przepełnienie bufora podczas odczytu określonego pliku konfiguracyjnego. Następnie GWS nie uruchomi się. Dostęp do pliku konfiguracyjnego mają tylko użytkownicy z uprawnieniami administratora.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-059-02