Múltiples vulnerabilidades en productos Mitsubishi Electric
Fecha de publicación 21/12/2023
Identificador
INCIBE-2023-0578
Importancia
4 - Alta
Recursos Afectados
- GT SoftGOT2000, versiones de la 1.275M a la 1.290C;
- OPC UA data collector, versiones 1.04E y anteriores;
- MX OPC Server UA (software empaquetado con MC Works64), versión 3.05F y posteriores (empaquetado con MC Works64 Version 4.03D y porteriores);
- OPC UA server unit, todas las versiones;
- FX5-OPC, versiones 1.006 y anteriores.
Descripción
Mitsubishi Electric ha reportado dos vulnerabilidades de severidad alta y una de severidad media, cuya explotación podría permitir a un atacante realizar una divulgación de información o provocar una condición de denegación de servicio (DoS).
Solución
Mitsubishi Electric recomienda que los clientes tomen las siguientes medidas de mitigación para minimizar el riesgo de explotar las vulnerabilidades reportadas:
- GT SoftGOT2000: actualizar el producto a la versión 1.295H o posterior.
- OPC UA data collector: actualizar el producto a la versión 1.05F o posterior
- MX OPC Server UA: llevar a cabo las medidas paliativas incluidas en el apartado "Mitigations" del artículo incluido en las referencias.
- OPC UA server unit: llevar a cabo las medidas paliativas incluidas en el apartado "Mitigations" del artículo incluido en las referencias.
- FX5-OPC: actualizar el producto a la versión 1.010F o posterior.
Detalle
- Vulnerabilidad de denegación de servicio (DoS) debida a un Double Free (CWE-4153) al leer un archivo PEM. Se ha asignado el identificador CVE-2022-4450 para esta vulnerabilidad.
- Se ha detectado una vulnerabilidad de divulgación de información y denegación de servicio (DoS) debida al acceso a un recurso utilizando un tipo incompatible, relacionada con el procesamiento de direcciones X.400 dentro de un GeneralName X.509. Se ha asignado el identificador CVE-2023-0286 para esta vulnerabilidad.
- Vulnerabilidad de divulgación de información debido a la discrepancia de tiempo observable en implementaciones de descifrado RSA. Se ha asignado el identificador CVE-2022-4304 para esta vulnerabilidad.
Listado de referencias
Etiquetas