В Delta Industrial Automation COMMGR исправлена критическая уязвимость
Уязвимость позволяет удаленно выполнить код, вызвать аварийное завершение работы приложения или спровоцировать отказ в обслуживании сервера приложений.
В ПО для управления коммуникациями Delta Industrial Automation COMMGR от тайваньской компании Delta Electronics исправлена уязвимость, позволявшая вызвать переполнение буфера в стеке. С ее помощью злоумышленник мог удаленно выполнить код, вызвать аварийное завершение работы приложения или спровоцировать отказ в обслуживании сервера приложений. По системе оценивания опасности CVSS v3 уязвимость (CVE-2018-10594) получила 7.3 балла из максимальных 10. Для ее успешной эксплуатации особые технические навыки не требуются. Проблема затрагивает версию COMMGR 1.08 и более ранние, а также сопутствующие симуляторы ПЛК DVPSimulator EH2, EH3, ES2, SE, SS2 и AHSIM_5x0, AHSIM_5x1.
Во избежание потенциальных угроз пользователям настоятельно рекомендуется установить обновленную версию COMMGR 1.09. Также рекомендуется использовать списки разрешенных приложений, устанавливающих доверенное соединение через порты 502 и 10002.
Уязвимость была обнаружена анонимным исследователем безопасности в рамках проекта Zero Day Initiative от компании Trend Micro. В настоящее время какого-либо известного эксплоита для нее уязвимости не существует.
Прочитайте также:
- В продуктах F-Secure обнаружена критическая уязвимость
- WINDOWS-ПК МОЖНО ВЗЛОМАТЬ, ПРОСТО ЗАСТАВИВ ЖЕРТВУ ПОСЕТИТЬ САЙТ
- В системах управления Crestron обнаружены 4 серьезные уязвимости
- Zerodium готова заплатить до $500 тыс. за эксплоиты для 0Day-уязвимостей в Linux и BSD
- В Apache Struts обнаружена критическая уязвимость
- В оборудовании Schneider Electric обнаружены опасные уязвимости
- В D-Link Central WiFiManager исправлены опасные уязвимости
- Juniper исправила десятки уязвимостей в своих продуктах
