AVEVA dasturiy ta’minot mahsulotlaridagi jiddiy zaifliklar tuzatildi
Zaifliklar 8.1 SP3 dan oldingi InduSoft Web Studio versiyalariga va 2017-yilgi versiya yangilanishidan oldingi InTouch Edge HMI versiyalariga ta’sir qiladi.
Britaniyaning AVEVA Software kompaniyasi oʻzining InduSoft Web Studio va InTouch Edge HMI (ilgari InTouch Machine Edition nomi bilan tanilgan) mahsulotlaridagi ikkita xavfli zaiflikni tuzatdi. Ushbu zaifliklar tajovuzkorga maxsus yaratilgan maʼlumotlar bazasi ulanish konfiguratsiya fayli yordamida oʻzboshimchalik bilan jarayonlarni masofadan turib bajarish imkonini beradi. CVE-2019-6543: Tajovuzkor dasturni bajarish imtiyozlari bilan kodni bajarishi va shu bilan qurilmaning ishlashiga putur yetkazishi mumkin. Zaiflik CVSS v3 boʻyicha maksimal 10 balldan 9,8 ball oldi.
CVE-2019-6545: Ruxsatsiz foydalanuvchi maxsus yaratilgan ma’lumotlar bazasi ulanish konfiguratsiya fayli yordamida serverda o’zboshimchalik bilan amalga oshirishi mumkin. Ushbu zaiflik CVSS v3 bo’yicha maksimal 10 balldan 9,8 ballni tashkil etadi.
Ushbu muammolar 8.1 SP3 dan oldingi InduSoft Web Studio versiyalariga va 2017-yilgi versiya yangilanishidan oldingi InTouch Edge HMI versiyalariga ta’sir qiladi va so’nggi mahsulot versiyalarida tuzatilgan. Foydalanuvchilarga yangilanishlarni iloji boricha tezroq o’rnatish tavsiya etiladi.
Eslatib o’tamiz, o’tgan oy oxirida AVEVA Software kompaniyasi Wonderware System Platform platformasidagi ArchestrA tarmoq akkauntining hisob ma’lumotlarini o’g’irlashga imkon beruvchi zaiflikni (CVE-2019-6525) ham tuzatdi.
