Rockwell Automation исправил ряд уязвимостей в своих продуктах

Американский производитель систем промышленной автоматизации Rockwell Automation выпустил обновления для своих продуктов Arena и FactoryTalk Activation Manager, исправляющие ряд уязвимостей, в том числе критическую. ICS-CERT и Rockwell Automation опубликовали соответствующие уведомления безопасности, однако уведомления от производителя доступны только для зарегистрированных пользователей.

FactoryTalk Activation Manager представляет собой инструмент для управления лицензионным контентом и активации программных продуктов Rockwell Automation и используется более чем в двух десятках продуктов компании. Инструмент включает в себя такие приложения для управления лицензиями, как Wibu-Systems CodeMeter и FlexNet Publisher.

В Wibu-Systems CodeMeter была исправлена уязвимость, позволявшая осуществить межсайтовый скриптинг (XSS) и внедрить произвольный код через поле в конфигурационном файле. С ее помощью злоумышленник мог получить доступ к конфиденциальной информации или внести изменения в HTML-страницу. Уязвимость получила идентификатор CVE-2017-13754 и оценивается как малоопасная.

В FlexNet Publisher была исправлена критическая уязвимость (CVE-2015-8277), позволявшая вызвать переполнение буфера и удаленно выполнить произвольный код.

Вышеупомянутые уязвимости затрагивают версии FactoryTalk Activation Manager 4.00.02 и 4.01, включающие в себя версии Wibu-Systems CodeMeter v6.50b и более ранние, а также FactoryTalk Activation Manager v4.00.02 и более ранние, включающие FlexNet Publisher v11.11.1.1 и более ранние версии. Уязвимости исправлены в FactoryTalk Activation Manager 4.02.

В симуляторе для промышленных систем Arena была исправлена уязвимость отказа в обслуживании (DoS). Проблема получила идентификатор CVE-2018-8843 и оценивается как средней опасности. Затронутыми являются версии Arena 15.10.00 и более ранние. Уязвимость была исправлена в версии продукта 15.10.01.