Validación incorrecta de entradas en múltiples dispositivos de Yokogawa
Fecha de publicación 27/09/2019
Importancia
4 - Alta
Recursos Afectados
- Exaopc, desde la versión R1.01.00 hasta la R3.77.00;
- Exaplog, desde la versión R1.10.00 hasta la R3.40.00;
- Exaquantum, desde la versión R1.10.00 hasta la R3.02.00, y R3.15.00;
- Exaquantum/Batch, desde la versión R1.01.00 hasta la R2.50.40;
- Exasmoc, todas las versiones;
- Exarge, todas las versiones;
- GA10, desde la versión R1.01.01 hasta la R3.05.01;
- InsightSuiteAE, desde la versión R1.01.00 hasta la R1.06.00.
Descripción
El equipo de Yokogawa ha reportado la vulnerabilidad, de tipo validación incorrecta de entradas, que podría permitir a un atacante local la ejecución de ficheros maliciosos mediante el privilegio de servicio.
Solución
- Exaopc: actualizar a la versión R3.78.00;
- Exaplog: actualizar a la versión R3.40.00 y aplicar el parche para la R3.40.06;
- Exaquantum: actualizar a la versión R3.15.00 y, posteriormente, aplicar el parche para R3.15.15;
- Exaquantum/Batch: actualizar a la versión R3.10.00;
- Exasmoc: el soporte de finaliza el 30 de septiembre del 2019, por lo que se recomienda migrar a Platform for Advanced Control and Estimation, que es el sucesor de Exasmoc;
- Exarqe: el soporte de finaliza el 30 de septiembre del 2019, por lo que se recomienda migrar a Platform for Advanced Control and Estimation, que es el sucesor de Exarqe;
- GA10: actualizar a la versión R3.05.06;
- InsightSuiteAE: actualizar a la versión R1.07.00.
Detalle
La ruta de servicios en algunas aplicaciones de Yokogawa no está contenida entre comillas y contiene espacios. Esto podría provocar que un atacante local ejecutase un fichero malicioso mediante el privilegio de servicio. [Actualización 02/10/2019] Se ha reservado el identificador CVE-2019-6008 para esta vulnerabilidad.
Listado de referencias
Etiquetas