Múltiples vulnerabilidades en productos Pepperl+Fuchs
Versiones 1.6.50 y anteriores de los productos:
- ICE2-8IOL1-G65L-V1D,
- ICE2-8IOL-G65L-V1D,
- ICE2-8IOL-K45P-RJ45,
- ICE2-8IOL-K45S-RJ45,
- ICE3-8IOL1-G65L-V1D,
- ICE3-8IOL-G65L-V1D,
- ICE3-8IOL-G65L-V1D-Y,
- ICE3-8IOL-K45P-RJ45,
- ICE3-8IOL-K45S-RJ45.
Pepperl+Fuchs, en coordinación con el CERT@VDE, ha publicado información sobre 8 vulnerabilidades que afectan a múltiples productos, 2 de severidad alta, 5 medias y 1 baja. El impacto de estas vulnerabilidades en los dispositivos afectados podría resultar en una denegación de servicio, omisión de autenticación o divulgación de información.
El fabricante proporcionará una actualización para abordar algunas de estas vulnerabilidades en el futuro.
Hasta entonces, se recomienda aplicar las medidas de mitigación descritas en el aviso del CERT@VDE incluido en las referencias.
Las vulnerabilidades de severidad alta se describen a continuación:
- El protocolo de acuerdo de claves Diffie-Hellman (DHE) podría permitir a un atacante remoto (desde el lado del cliente) enviar números arbitrarios que en realidad no son claves públicas, y así provocar costosos cálculos de exponenciación modular DHE del lado del servidor, conocido como ataque D(HE)at. Se ha asignado el identificador CVE-2002-20001 para esta vulnerabilidad.
- El protocolo DHE podría permitir el uso de exponentes largos que añaden complejidad a ciertos cálculos, lo que podría provocar una vulnerabilidad en el lado del servidor de consumo de recursos. Se ha asignado el identificador CVE-2022-40735 para esta vulnerabilidad.
Para el resto de vulnerabilidades no altas, se han asignado los identificadores CVE-2022-31629, CVE-2021-21707, CVE-2020-7070, CVE-2004-0230, CVE-2011-3389 y CVE-1999-0524.
