ProductPU400: Wersje i.z.0 i nowsze do i.z.8, ale z wyłączeniem
Narzędzie Ptsulogger: Wersja 1.0.1
Numer CVECVE-2022-3602
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisWersje PCU400, których dotyczy problem, polegają na wersji OpenSSL, która zawiera lukę umożliwiającą przepełnienie bufora. Przepełnienie bufora może zostać wywołane podczas weryfikacji certyfikatu X.509, w szczególności podczas sprawdzania ograniczeń nazw. Należy zauważyć, że dzieje się to po weryfikacji podpisu łańcucha certyfikatów i wymaga podpisania przez urząd certyfikacji złośliwego certyfikatu lub kontynuowania przez aplikację weryfikacji certyfikatu pomimo niepowodzenia w konstruowaniu ścieżki do zaufanego wystawcy. W PCU400 luka ta może zostać wykorzystana, jeśli do zabezpieczenia komunikacji między PCU400 a PCULogger zostanie użyty złośliwy certyfikat TLS. Udana eksploatacja może spowodować odmowę usługi rejestratora PCU400 i serwera PCUCAG.
  
Numer CVECVE-2022-3786
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisWersje PCU400, których dotyczy problem, polegają na wersji OpenSSL, która zawiera lukę umożliwiającą przepełnienie bufora. Przepełnienie bufora może zostać wywołane podczas weryfikacji certyfikatu X.509, w szczególności podczas sprawdzania ograniczeń nazw. Należy zauważyć, że dzieje się to po weryfikacji podpisu łańcucha certyfikatów i wymaga albo podpisania przez urząd certyfikacji złośliwego certyfikatu, albo kontynuowania przez aplikację weryfikacji certyfikatu pomimo niepowodzenia w konstruowaniu ścieżki do zaufanego wystawcy. W PCU400 luka ta może zostać wykorzystana, jeśli do zabezpieczenia komunikacji między PCU400 a PCULogger zostanie użyty złośliwy certyfikat TLS. Udana eksploatacja może spowodować odmowę usługi rejestratora PCU400 i serwera PCUCAG.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/uscert/ics/advisories/icsa-23-019-01