Schneider Electric informuje o nowych podatnościach w swoich produktach oraz aktualizuje starsze.(P23-077)

utworzone przez | maj 11, 2023 | ICS

9 maja 2023 r. firma Schneider Electric opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w następujących produktach:

     EcoStruxure Power Operation — wersje 2022, 2021 CU3 i wcześniejsze

     EcoStruxure Power SCADA Operation – wersja 2020 i wcześniejsze

     OPC Factory Server – wersje wcześniejsze niż V3.63SP2

     PowerLogic ION7400 / PM8000 / ION9000 – wiele wersji i platform

     Power SCADA Anywhere – wersja 1.1 i 1.2

 

Numer CVE

CVSS

Opis

Produkt/Wersja

Link

CVE-2023-2161

5.0

CWE-611: Niewłaściwe ograniczenie odwołania do jednostki zewnętrznej XML

• OPC Factory Server (OFS) (wersja przed V3.63SP2)

Link

Firma Schneider Electric jest świadoma istnienia wielu luk w produkcie AVEVA™ Plant SCADA, który jest częścią produktów EcoStruxure™ Power Operation, EcoStruxure™ Power SCADA Operation.

• EcoStruxure™ Power Operation (wersja 2022, wersje 2021 CU3 i wcześniejsze)

• Obsługa EcoStruxure™ Power SCADA (wersje 2020 R2 i wcześniejsze)

Link

CVE-2022-46680

8.8

CWE-319: Przesyłanie poufnych informacji jawnym tekstem

• PowerLogic ION9000, PowerLogic ION7400, PowerLogic PM8000 (sprzed wersji 4.0.0)

• PowerLogic ION8650 (wszystkie wersje)

• PowerLogic ION8800 (wszystkie wersje)

• Starsze produkty ION (wszystkie wersje)

Link

Firma Schneider Electric jest świadoma istnienia wielu luk w oprogramowaniu AVEVA™ Plant SCADA Access Anywhere, które jest opcjonalnym elementem produktów EcoStruxureTM Power Operation lub EcoStruxureTM Power SCADA Operation.

• EcoStruxureTM Power Operation lub EcoStruxureTM Power SCADA Operation skonfigurowany z Power SCADA Anywhere (Power SCADA Anywhere w wersji 1.1 i 1.2)

Link

CVE-2021-31400, CVE-2021-31401, CVE-2020-35683, CVE-2020-35684, CVE-2020-35685

Firma Schneider Electric jest świadoma wielu luk w komponencie innej firmy NicheStack TCP/IP firmy HCC Embedded, który jest zintegrowany z modułem komunikacyjnym Lexium ILE, ILA, ILS firmy Schneider Electric, modułem komunikacyjnym Altivar Profinet (VW3A3627), modułem komunikacyjnym Altivar i Lexium Ethernet TCP/IP (VW3A3616). ) oraz Altivar Profinet – karta komunikacyjna (VW3A3327).

• Wersja oprogramowania układowego Lexium ILE ILA ILS (V01.110 i wcześniejsze)

Link

Firma Schneider Electric jest świadoma istnienia wielu luk w alokacji pamięci, nazwanych „BadAlloc”, ujawnionych przez firmę Microsoft 29 kwietnia 2021 r. Skuteczne wykorzystanie luk może skutkować odmową usługi lub zdalnym wykonaniem kodu, w zależności od kontekstu.

Link