Главная / Без рубрики / Уязвимость в промышленном ПО Delta Industrial Automation COMMGR

Уязвимость в промышленном ПО Delta Industrial Automation COMMGR

Уязвимость переполнения буфера обнаружена в программном обеспечении для управления коммуникациями Delta Industrial Automation COMMGR производства компании Delta Electronics. Успешная эксплуатация этой уязвимости может привести к удаленному выполнению кода, аварийному завершению работы приложения или отказу в обслуживании сервера приложений.

Проблема связана с тем, что приложение использует буфер стека фиксированной длины и при считывании значения непроверенной длины из сетевых пакетов через определенный порт происходит перезапись буфера.

Уязвимость CVE-2018-10594 затрагивает следующие решения:

  • программное обеспечение COMMGR версии 1.08 и предшествующих ей;
  • симуляторы ПЛК DVPSimulator EH2, EH3, ES2, SE, SS2

По шкале CVSS v3 уязвимость получила 7,3 балла.

Для устранения уязвимости производитель рекомендует пользователям установить новую версию COMMGR 1.09, а также использовать списки разрешенных приложений для установления только доверенных соединений через порты 502 и 10002.

Источник: ICS-CERT