Desbordamiento de búfer basado en memoria dinámica en OpenEnterprise de Emerson

Fecha de publicación 19/02/2020

Importancia

4 - Alta

Recursos Afectados

OpenEnterprise Server 2.83 está afectado si los protocolos Modbus o ROC Interfaces han sido instalados y están en uso;
OpenEnterprise, desde 3.1 hasta 3.3.3, todas las versiones.

Descripción

Roman Lozko, de Kaspersky ICS CERT, ha informado de una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (heap), que afecta al producto OpenEnterprise de Emerson.

Solución

Actualizar OpenEnterprise a la versión 3.3 SP4 (3.3.4), disponible desde la web de soporte de Emerson.

Detalle

Un script, especialmente diseñado, puede servir para ejecutar código en el servidor de OpenEnterprise, generando un desbordamiento de búfer basado en memoria dinámica (heap). Se ha reservado el identificador CVE-2020-6970 para esta vulnerabilidad.

Listado de referencias

ICS Advisory (ICSA-20-049-02) Emerson OpenEnterprise

Etiquetas

Actualización
Vulnerabilidad