В комплексе CoDeSys V3 исправлена опасная уязвимость

image

Теги: CoDeSys, уязвимость, АСУ ТП

Проблема затрагивает все версии решений CoDeSys V3 до V3.5.14.20.

В инструментальном программном комплексе промышленной автоматизации CoDeSys V3 выявлена опасная уязвимость, которая может быть проэксплуатирована удаленно для инициирования отказа в обслуживании.

Проблема затрагивает все версии решений CoDeSys V3 до V3.5.14.20, содержащие компонент CmpGateway, в том числе: CoDeSys Control for emPC-A/iMX6, CoDeSys Control for Linux, CoDeSys Control for BeagleBone, CoDeSys Control for IOT2000, CoDeSys Control for PFC100, CoDeSys Control for PFC200, CoDeSys Control for Raspberry Pi, CoDeSys Control V3 Runtime System Toolkit, CoDeSys Gateway V3 и CoDeSys V3 Development System.

Уязвимость получила идентификатор CVE-2019-9012, степень ее опасности оценена в 7,5 балла по классификации CVSS v3.0. Баг может быть проэксплуатирован удаленно путем отправки специально сформированного коммуникационного запроса, что приведет к неконтролируемому выделению памяти (uncontrolled memory allocations) и, в результате, к отказу в обслуживании.

Проблема исправлена с выпуском версии CoDeSys V3.5.14.20. В настоящее время случаев эксплуатации уязвимости не выявлено.

CoDeSys (Controller Development System) - аппаратно независимый комплекс для прикладного программирования ПЛК и встраиваемых контроллеров.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.