В контроллерах Emerson Ovation выявлены опасные уязвимости

В контроллерах Emerson Ovation выявлены опасные уязвимости

Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже).

image

В оборудовании для АСУ ТП производства компании Emerson обнаружены уязвимости переполнения буфера, предоставляющие потенциальную возможность повысить привилегии, удаленно выполнить код или нарушить работу устройства.

Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже). Как уточняется в предупреждении ICS-CERT, баги содержатся в стороннем FTP-сервере, реализованном в продукте. Данная версия ПО не поддерживается производителем с 2015 года.

Первая проблема (CVE-2019-10965) представляет собой уязвимость переполнения буфера стека. Баг существует из-за некорректной обработки LIST команд, что может привести к перезаписи буфера и, как результат, возможности удаленно выполнить код или повысить права.

Вторая проблема (CVE-2019-10967) - уязвимость переполнения буфера в области данных кучи, которая связана с некорректной обработкой команд, отправленных FTP-серверу. Это может привести к повреждению памяти, что позволит нарушить работу контроллера либо удаленно выполнить код или повысить привилегии.

Опасность уязвимостей оценена в 6,3 и 6,8 балла соответственно по шкале CVSS v3. Для их эксплуатации не требуются особые навыки. Пользователям уязвимых продуктов рекомендуется обновиться до более новых версий ПО.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle