Уязвимость BDU:2023-04381

Уязвимость BDU:2023-04381

Идентификатор: BDU:2023-04381.

Наименование уязвимости: Уязвимость программной платформы управления операционными данными для оптимизации производства ABB Ability zenon, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю читать и обновлять произвольные данные в различных каталогах системы.

Описание уязвимости: Уязвимость программной платформы управления операционными данными для оптимизации производства ABB Ability zenon связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю читать и обновлять произвольные данные в различных каталогах системы
Уязвимое ПО: Программное средство АСУ ТП Asea Brown Boveri Ltd. zenon от 11 до 11 build 106404 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 24.07.2023.
CVSS 2.0: AV:L/AC:H/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению:
Компенсирующие меры:
1. В приложении Engineering Studio удалить файлы .cdwpf из графической папки каждого проекта, содержащего файлы .cdwpf, созданные инструментом 3D Configurator.
2. В системе с Engineering Studio для каждого проекта удалить папку RT, содержащую файлы Service Engine.
3. Скомпилировать новые файлы в Engineering Studio для каждого затрагиваемого проекта.
4. В системе с компонентом Service Engine удалить папку RT каждого затрагиваемого проекта.
5. Перенести в систему или разместить в ней с помощью компонента Service Engine вновь созданные файлы компонента Service Engine, которые больше не содержат файлы .cdwpf.

Использование рекомендаций:
https://search.abb.com/library/Download.aspx?DocumentID=2NGA001801&LanguageCode=en&DocumentPartId=&Action=Launch&_ga=2.194142766.2067879716.1690216773-1911411808.1686627590
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-3324.
Прочая информация: Уязвимость существует только в том случае, если инструмент 3D-конфигуратора используется для создания файлов .cdwpf, которые используются на экранах в проектах для отображения 3D-моделей
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://search.abb.com/library/Download.aspx?DocumentID=2NGA001801&LanguageCode=en&DocumentPartId=&Action=Launch&_ga=2.194142766.2067879716.1690216773-1911411808.1686627590

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: