CODESYS V3 va CODESYS Control V3 dasturiy ta’minot paketlarida xavfli zaifliklar tuzatildi.
CODESYS V3 va CODESYS Control V3 dasturi ta’minot paketlarida zaifliklar tuzatildi.Muammolardan biri muhim ma’lumotlarni, jumladan, hisobga olish ma’lumotlarini olish imkonini beradi.
3S-Smart Software Solutions GmbH kompaniyasining CODESYS V3 va CODESYS Control V3 sanoat avtomatlashtirish dasturiy ta’minot to’plamlarida xavfli zaifliklar aniqlandi. Ushbu zaifliklar maxfiy ma’lumotlarni, jumladan, hisobga olish ma’lumotlarini olish yoki zararli paketlar manbasini chalkashtirish imkonini beradi. Eng jiddiy zaiflik (CVE-2018-10612) CODESYS Control V3 da aniqlandi (CVSS v3 ball 10 balldan 9,8 ball bilan). Muammo shifrlash sukut bo’yicha o’chirilganligi sababli yuzaga keladi, bu esa tajovuzkorga qurilmaga va unda saqlangan ma’lumotlarga, jumladan, hisobga olish ma’lumotlariga kirish imkonini beradi. Zaiflik quyidagi yechimlarga ta’sir qiladi: BeagleBone uchun boshqaruv, BeagleBone uchun CODESYS boshqaruv, emPC-A/iMX6 uchun CODESYS boshqaruv, IOT2000 uchun CODESYS boshqaruv, Linux uchun CODESYS boshqaruv, PFC100 uchun CODESYS boshqaruv, PFC200 uchun CODESYS boshqaruv, Raspberry Pi uchun CODESYS boshqaruv, CODESYS boshqaruv RTE V3, CODESYS boshqaruv RTE V3 (Beckhoff CX uchun), CODESYS boshqaruv Win V3, CODESYS V3 simulyatsion ish vaqti, CODESYS boshqaruv V3 ish vaqti tizimi to’plami va CODESYS HMI V3. Muammo dasturiy ta’minotning 3.5.14.0 versiyasida hal qilindi.
CODESYS V3 yechimi ikkita zaiflikni o’z ichiga oladi: CVE-2018-20025 va CVE-2018-20026. Birinchisi, ma’lumotlarning maxfiyligi va yaxlitligiga ta’sir qilishi mumkin bo’lgan zaif tasodifiy qiymatlarning mavjudligi bilan bog’liq bo’lsa, ikkinchisi aloqa kanallarini noto’g’ri cheklash bilan bog’liq bo’lib, bu aloqa paketlari manbasini yashirishga imkon beradi. CVE-2018-20025 CVSS v3 jiddiylik reytingiga 9,4 va CVE-2018-20026 CVSS v3 reytingiga 5,8 ega.
Ilovaning tuzatilgan versiyasi ishlab chiqaruvchining veb-saytida mavjud.
