ICS-CERT informuje o nowych podatnościach w produktach firmy Rockwell Automation

utworzone przez | sty 27, 2023 | ICS

ProductFirma Rockwell Automation informuje, że następujące produkty korzystają z wersji serwera internetowego GoAhead podatnej zarówno na luki CVE-2019-5096, jak i CVE-2019-5097:       
1732E-8CFGM8R/A: wersja oprogramowania 1.012     
1732E-IF4M12R/A (wycofany): wersja oprogramowania układowego 1.012     
1732E-IR4IM12R/A: wersja oprogramowania 1.012     
1732E-IT4IM12R/A: wersja oprogramowania układowego 1.012     
1732E-OF4M12R/A: wersja oprogramowania 1.012     
1732E-OB8M8SR/A: wersja oprogramowania układowego 1.013     
1732E-IB8M8SOER: wersja oprogramowania układowego 1.012     
1732E-8IOLM12R: wersja oprogramowania układowego 2.011     
1747-AENTR: wersja oprogramowania układowego 2.002     
1769-AENTR: wersja oprogramowania 1.001     
5069-AEN2TR: wersja oprogramowania układowego 3.011     
1756-EN2TR/C: wersje oprogramowania układowego do 11.001 włącznie     
1756-EN2T/D: wersje oprogramowania sprzętowego do 11.001 włącznie     
1756-EN2TSC/B (wycofany): wersja oprogramowania układowego 10.01     
1756-EN2TSC/B: wersja oprogramowania układowego 10.01     
1756-HIST1G/A (wycofany): wersje oprogramowania układowego do 3.054 włącznie     
1756-HIST2G/A (wycofany): wersje oprogramowania układowego do 3.054 włącznie     
1756-HIST2G/B: wersje oprogramowania do 5.103 włącznie  

Firma Rockwell Automation informuje, że następujące produkty korzystają z wersji serwera WWW GoAhead podatnej na lukę CVE-2019-5097:       
Sterowniki ControlLogix 5580: wersja oprogramowania układowego V28 – V32     
Sterowniki GuardLogix 5580: wersja oprogramowania układowego V31 – V32     
Sterowniki CompactLogix 5380: wersja oprogramowania układowego V28 – V32     
Sterowniki Compact GuardLogix 5380: wersja oprogramowania układowego V31 – V32     
Sterowniki CompactLogix 5480: wersja oprogramowania układowego V32     
1756-EN2T/D: wersja oprogramowania 11.001     
1756-EN2TR/C: wersja oprogramowania układowego 11.001     
1765 – EN3TR/B: wersja oprogramowania 11.001     
1756-EN2F/C: wersja oprogramowania układowego 11.001     
1756-EN2TP/A: wersja oprogramowania układowego 11.001.
Numer CVECVE-2019-5097
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisW serwerze internetowym GoAhead istnieje luka umożliwiająca odmowę usługi. Aby wykorzystać tę lukę, złośliwy użytkownik może wysłać specjalnie spreparowane żądania HTTP i uruchomić nieskończoną pętlę w tym procesie. W przypadku wykorzystania docelowe urządzenie może ulec awarii.
  
AktualizacjaCVE-2019-5096
Numer CVE9.8/10
KrytycznośćAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSSW sposobie przetwarzania żądań przez serwer WWW występuje krytyczna luka. W przypadku wykorzystania tej luki złośliwy użytkownik może wykorzystać tę lukę do wykonania dowolnego kodu, wysyłając specjalnie spreparowane żądania HTTP do docelowego urządzenia.
Opis 
AktualizacjaTAK
Linkhttps://www.cisa.gov/uscert/ics/advisories/icsa-23-026-06