Product | Firma Rockwell Automation informuje, że następujące produkty korzystają z wersji serwera internetowego GoAhead podatnej zarówno na luki CVE-2019-5096, jak i CVE-2019-5097: 1732E-8CFGM8R/A: wersja oprogramowania 1.012 1732E-IF4M12R/A (wycofany): wersja oprogramowania układowego 1.012 1732E-IR4IM12R/A: wersja oprogramowania 1.012 1732E-IT4IM12R/A: wersja oprogramowania układowego 1.012 1732E-OF4M12R/A: wersja oprogramowania 1.012 1732E-OB8M8SR/A: wersja oprogramowania układowego 1.013 1732E-IB8M8SOER: wersja oprogramowania układowego 1.012 1732E-8IOLM12R: wersja oprogramowania układowego 2.011 1747-AENTR: wersja oprogramowania układowego 2.002 1769-AENTR: wersja oprogramowania 1.001 5069-AEN2TR: wersja oprogramowania układowego 3.011 1756-EN2TR/C: wersje oprogramowania układowego do 11.001 włącznie 1756-EN2T/D: wersje oprogramowania sprzętowego do 11.001 włącznie 1756-EN2TSC/B (wycofany): wersja oprogramowania układowego 10.01 1756-EN2TSC/B: wersja oprogramowania układowego 10.01 1756-HIST1G/A (wycofany): wersje oprogramowania układowego do 3.054 włącznie 1756-HIST2G/A (wycofany): wersje oprogramowania układowego do 3.054 włącznie 1756-HIST2G/B: wersje oprogramowania do 5.103 włącznie Firma Rockwell Automation informuje, że następujące produkty korzystają z wersji serwera WWW GoAhead podatnej na lukę CVE-2019-5097: Sterowniki ControlLogix 5580: wersja oprogramowania układowego V28 – V32 Sterowniki GuardLogix 5580: wersja oprogramowania układowego V31 – V32 Sterowniki CompactLogix 5380: wersja oprogramowania układowego V28 – V32 Sterowniki Compact GuardLogix 5380: wersja oprogramowania układowego V31 – V32 Sterowniki CompactLogix 5480: wersja oprogramowania układowego V32 1756-EN2T/D: wersja oprogramowania 11.001 1756-EN2TR/C: wersja oprogramowania układowego 11.001 1765 – EN3TR/B: wersja oprogramowania 11.001 1756-EN2F/C: wersja oprogramowania układowego 11.001 1756-EN2TP/A: wersja oprogramowania układowego 11.001. |
Numer CVE | CVE-2019-5097 |
Krytyczność | 7.5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Opis | W serwerze internetowym GoAhead istnieje luka umożliwiająca odmowę usługi. Aby wykorzystać tę lukę, złośliwy użytkownik może wysłać specjalnie spreparowane żądania HTTP i uruchomić nieskończoną pętlę w tym procesie. W przypadku wykorzystania docelowe urządzenie może ulec awarii. |
Aktualizacja | CVE-2019-5096 |
Numer CVE | 9.8/10 |
Krytyczność | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVSS | W sposobie przetwarzania żądań przez serwer WWW występuje krytyczna luka. W przypadku wykorzystania tej luki złośliwy użytkownik może wykorzystać tę lukę do wykonania dowolnego kodu, wysyłając specjalnie spreparowane żądania HTTP do docelowego urządzenia. |
Opis | |
Aktualizacja | TAK |
Link | https://www.cisa.gov/uscert/ics/advisories/icsa-23-026-06 |