ICS-CERT poinformował o podatności w produktach Fuji Electric oraz Johnson Controls.

Producent: Fuji Electric

Podatności:

  • CVE-2019-13520 – atakujący może użyć spreparowanych plików projektu w celu przepełnienia bufora i wykonania kodu z uprawnieniami aplikacji.

Podatne produkty:

  • Alpha5 Smart Loader, wersje wcześniejsze niż 4.2

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-227-02

Producent: Johnson Controls

Podatności:

  • CVE-2019-7593serwery Metasys ADS/ADX i silniki NAE/NIE/NCE korzystają ze wspólnej pary kluczy RSA do niektórych operacji szyfrowania obejmujących portal zarządzania stroną (SMP). Atakujący z dostępem do udostępnionej pary kluczy RSA może odszyfrować przechwycony ruch sieciowy między serwerami, a łączącym się klientem użytkownika SMP.
  • CVE-2019-7594serwery Metasys ADS/ADX i silniki NAE/NIE/NCE wykorzystują zakodowany na stałe klucz RC2 do niektórych operacji szyfrowania obejmujących portal zarządzania stroną (SMP). Atakujący z dostępem do zakodowanego na stałe klucza RC2 może odszyfrować przechwycony ruch sieciowy między serwerami, a łączącym się klientem użytkownika SMP.

Podatne produkty:

  • Metasys system, wersje wcześniejsze niż 9.0

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-227-01