Validación incorrecta de entradas en múltiples dispositivos de Yokogawa

Fecha de publicación
27/09/2019
Importancia
4 - Alta
Recursos Afectados
  • Exaopc, desde la versión R1.01.00 hasta la R3.77.00;
  • Exaplog, desde la versión R1.10.00 hasta la R3.40.00;
  • Exaquantum, desde la versión R1.10.00 hasta la R3.02.00, y R3.15.00;
  • Exaquantum/Batch, desde la versión R1.01.00 hasta la R2.50.40;
  • Exasmoc, todas las versiones;
  • Exarge, todas las versiones;
  • GA10, desde la versión R1.01.01 hasta la R3.05.01;
  • InsightSuiteAE, desde la versión R1.01.00 hasta la R1.06.00.
Descripción

El equipo de Yokogawa ha reportado la vulnerabilidad, de tipo validación incorrecta de entradas, que podría permitir a un atacante local la ejecución de ficheros maliciosos mediante el privilegio de servicio.

Solución
  • Exaopc: actualizar a la versión R3.78.00;
  • Exaplog: actualizar a la versión R3.40.00 y aplicar el parche para la R3.40.06;
  • Exaquantum: actualizar a la versión R3.15.00 y, posteriormente, aplicar el parche para R3.15.15;
  • Exaquantum/Batch: actualizar a la versión R3.10.00;
  • Exasmoc: el soporte de finaliza el 30 de septiembre del 2019, por lo que se recomienda migrar a Platform for Advanced Control and Estimation, que es el sucesor de Exasmoc;
  • Exarqe: el soporte de finaliza el 30 de septiembre del 2019, por lo que se recomienda migrar a Platform for Advanced Control and Estimation, que es el sucesor de Exarqe;
  • GA10: actualizar a la versión R3.05.06;
  • InsightSuiteAE: actualizar a la versión R1.07.00.
Detalle

La ruta de servicios en algunas aplicaciones de Yokogawa no está contenida entre comillas y contiene espacios. Esto podría provocar que un atacante local ejecutase un fichero malicioso mediante el privilegio de servicio. [Actualización 02/10/2019] Se ha reservado el identificador CVE-2019-6008 para esta vulnerabilidad.

Encuesta valoración

Ir arriba