Emerson Ovation kontrollerlarida xavfli zaifliklar aniqlandi
Muammolar Emerson Ovation OCR400 kontrollerlariga ta’sir qiladi (3.3.1 va undan past versiyalar).
Emersonning sanoat boshqaruv tizimi (ICS) uskunasida bufer toshib ketishining zaif tomonlari aniqlandi, bu esa potentsial imtiyozlarni oshirish, masofaviy kodni bajarish yoki qurilmaning noto’g’ri ishlashiga imkon beradi. Muammolar Emerson Ovation OCR400 kontrollerlariga ta’sir qiladi (3.3.1 va undan oldingi versiyalar). ICS-CERT ogohlantirishiga ko’ra, xatolar mahsulotga kiritilgan uchinchi tomon FTP serverida mavjud. Ushbu dastur versiyasi ishlab chiqaruvchi tomonidan 2015 yildan beri qo’llab-quvvatlanmaydi.
Birinchi masala (CVE-2019-10965) stek buferining to‘lib ketishi zaifligidir. Xato LIST buyruqlarining noto’g’ri ishlashi tufayli mavjud bo’lib, bu buferni qayta yozishga olib kelishi mumkin va natijada kodni masofadan bajarish yoki imtiyozlarni oshirish imkoniyati.
Ikkinchi muammo (CVE-2019-10967) – bu FTP serveriga yuborilgan buyruqlarni noto’g’ri qayta ishlash bilan bog’liq bo’lgan to’p buferining to’lib ketishi zaifligi. Bu xotira buzilishiga olib kelishi mumkin, bu esa kontrollerning noto’g’ri ishlashiga, masofadan kod bajarilishiga yoki imtiyozlarning kuchayishiga olib kelishi mumkin.
Zaifliklar CVSS v3 jiddiylik reytingiga ega, mos ravishda 6,3 va 6,8. Ulardan foydalanish maxsus ko’nikmalarni talab qilmaydi. Zaif mahsulotlar foydalanuvchilariga yangi versiyalarga yangilash tavsiya etiladi.
