Уязвимость переполнения буфера обнаружена в программном обеспечении для управления коммуникациями Delta Industrial Automation COMMGR производства компании Delta Electronics. Успешная эксплуатация этой уязвимости может привести к удаленному выполнению кода, аварийному завершению работы приложения или отказу в обслуживании сервера приложений.
Проблема связана с тем, что приложение использует буфер стека фиксированной длины и при считывании значения непроверенной длины из сетевых пакетов через определенный порт происходит перезапись буфера.
Уязвимость CVE-2018-10594 затрагивает следующие решения:
- программное обеспечение COMMGR версии 1.08 и предшествующих ей;
- симуляторы ПЛК DVPSimulator EH2, EH3, ES2, SE, SS2
По шкале CVSS v3 уязвимость получила 7,3 балла.
Для устранения уязвимости производитель рекомендует пользователям установить новую версию COMMGR 1.09, а также использовать списки разрешенных приложений для установления только доверенных соединений через порты 502 и 10002.
Источник: ICS-CERT