Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Comprobación inadecuada de condiciones en productos de CODESYS

Fecha de publicación 25/09/2024
Identificador
INCIBE-2024-0475
Importancia
4 - Alta
Recursos Afectados

Versiones anteriores a 3.5.20.30:

  • CODESYS Control RTE (SL);
  • CODESYS Control RTE (for Beckhoff CX) SL;
  • CODESYS Control Win (SL);
  • CODESYS HMI (SL);
  • CODESYS Runtime Toolkit;
  • CODESYS Embedded Target Visu Toolkit;
  • CODESYS Remote Target Visu Toolkit.

Versiones anteriores a 4.14.0.0:

  • CODESYS Control for BeagleBone SL;
  • CODESYS Control for emPC-A/iMX6 SL;
  • CODESYS Control for IOT2000 SL;
  • CODESYS Control for Linux ARM SL;
  • CODESYS Control for Linux SL;
  • CODESYS Control for PFC100 SL;
  • CODESYS Control for PFC200 SL;
  • CODESYS Control for PLCnext SL;
  • CODESYS Control for Raspberry Pi SL;
  • CODESYS Control for WAGO Touch Panels 600 SL;
  • CODESYS Virtual Control SL.
Descripción

CODESYS ha publicado un aviso de seguridad debido a una vulnerabilidad de severidad alta que afecta a varios de sus productos. De ser explotada, esta vulnerabilidad podría provocar la caída del servicio.

Esta vulnerabilidad fue reportada por ABB y coordinada por CERT@VDE.

Solución

Actualizar los siguientes productos a la versión 3.5.20.30:

  • CODESYS Control RTE (SL);
  • CODESYS Control RTE (for Beckhoff CX) SL;
  • CODESYS Control Win (SL);
  • CODESYS HMI (SL);
  • CODESYS Runtime Toolkit;
  • CODESYS Embedded Target Visu Toolkit;
  • CODESYS Remote Target Visu Toolkit.

La actualización 4.14.0.0 está previsto que se publique en noviembre de 2024 y corregirá la vulnerabilidad en los siguientes productos:

  • CODESYS Control for BeagleBone SL;
  • CODESYS Control for emPC-A/iMX6 SL;
  • CODESYS Control for IOT2000 SL;
  • CODESYS Control for Linux ARM SL;
  • CODESYS Control for Linux SL;
  • CODESYS Control for PFC100 SL;
  • CODESYS Control for PFC200 SL;
  • CODESYS Control for PLCnext SL;
  • CODESYS Control for Raspberry Pi SL;
  • CODESYS Control for WAGO Touch Panels 600 SL;
  • CODESYS Virtual Control SL.
Detalle

El componente del servidor de CODESYS Control Runtime System se emplea para mostrar pantallas de visualización de datos en un navegador web. Mediante paquetes TLS personalizados para la conexión HTTPS se puede provocar que el servidor se bloquee, debido a que no comprueba correctamente el valor de retorno de una función subyacente.

Se ha asignado el identificador CVE-2024-8175 para esta vulnerabilidad.

Listado de referencias
CODESYS Security Advisory 2024-05 - Control V3 web server
VDE-2024-057 - CODESYS: CODESYS web server vulnerable to DoS
Etiquetas