Emerson DeltaV puffer túlcsordulásos sérülékenység

CH azonosító

CH-7679

Angol cím

EMERSON DELTAV BUFFER OVERFLOW

Felfedezés dátuma

2012.09.30.

Súlyosság

Magas

Érintett rendszerek

DeltaV
Emerson

Érintett verziók

DeltaV V9.3.1, V10.3.1, V11.3, V11.3.1

Összefoglaló

Az Emerson DeltaV egy sérülékenységét jelentették, amit kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

A sérülékenységet az okozza, hogy a szolgáltatás lehetővé teszi a string-ek másolását határellenőrzés nélkül (bounds checking), amit kihasználva rendszer összeomlást lehet előidézni, ha a támadó túlságosan nagy méretű string-et küld egy meghatározott portra.

A sérülékenységet távolról ki lehet használni, de jelenleg nincs ismert PoC (proof-of-concept) kód.

Megoldás

A gyártó kiadott egy hotfix-et, ami javítja a sérülékenységet. A 9.3.1 és 10.3 verziókat használóknak javasolják a frissítést a 10.3.1 kiadásra, mert azokhoz nem készült javítás.

További javaslatok a kockázatok csökkentésére:

  1. Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  2. A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  3. Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!

 


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
CVE-2025-21204 – Windows Process Activation Elevation of Privilege sebezhetősége
CVE-2025-32432 – Craft CMS RCE sebezhetősége
CVE-2025-1976 – Broadcom Brocade Fabric OS Code Injection sebezhetősége
CVE-2025-31324 – SAP NetWeaver sebezhetősége
CVE-2025-24206 – Apple AirPlay sebezhetősége
CVE-2025-24252 – Apple AirPlay sebezhetősége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
Tovább a sérülékenységekhez »