Уязвимость BDU:2022-03995

Дата: 24.06.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-03995.

Наименование уязвимости: Уязвимость среды исполнения CODESYS Runtime Toolkit, вызванная переполнением буфера в динамической памяти, позволяющая нарушителю вызвать отказ в обслуживании или перезаписать область памяти.

Описание уязвимости: Уязвимость среды исполнения CODESYS Runtime Toolkit вызвана переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или перезаписать область памяти путем отправки специально сформированного запроса
Уязвимое ПО: Программное средство АСУ ТП 3S-Smart Software Solutions GmbH CODESYS Runtime Toolkit до 2.4.7.57 включительно | Средство АСУ ТП, Программное средство АСУ ТП 3S-Smart Software Solutions GmbH PLCWinNT до 2.4.7.57 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 24.06.2022.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование физического либо логического разграничения доступа к устройствам с CODESYS Runtime путем разграничения межсетевыми экранами с выделением отдельной подсети;
— использование средств обнаружения вторжений.
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-32137.

Тип ошибки CWE: CWE-122
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2022-32137

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *