Tilkynnt var um nokkra alvarlega veikleika í BMC IPMI hjá Supermicro. Einnig var tilkynnt um veikleika í WIBU CodeMeter sem notað er í vörum CODESYS. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður og útfæra þær mótvægisaðgerðir samkvæmt upplýsingum frá fyrirtæki eins fljótt og auðið er.
Alvarlegir veikleikar (e. critical)
Supermicro BMC IPMI
Veikleikarnir CVE-2023-40284 til CVE-2023-40290 með CVSSv3 skor frá 7.2 til 8.3 geta gert ógnaraðila kleift að framkvæma skipana innspýtingu (e. command injection) og XSS (e. cross-site scripting). Veikleikinn er til staðar í Supermicro BMC X11, H11, B11, CMM, M11 og H12 móðurborðunum. Meðan uppfærsla hefur ekki verið framkvæmd mælir Supermicro með að útfæra mótvægisaðgerðir [1].
WIBU CodeMeter
Veikleikinn CVE-2023-3935 með CVSSv3 veikleikastig upp á 9.8 er hrúgubiðminna yfirflæða veikleiki (e. heap buffer overflow vulnerability). Óauðkenndur ógnaraðili sem misnotar veikleikann getur fjarkeyrt kóða og fengið fulla stjórn á kerfi sem hýsir þjónustuna [2].
Eftirfarandi kerfi eru veik fyrir gallanum:
CODESYS SP Realtime NT starting: frá 2.3.7.25
CODESYS Control RTE (SL): < 3.5.19.30
CODESYS Control RTE (for Beckhoff CX) SL: < 3.5.19.30
CODESYS Control Win (SL): < 3.5.19.30
CODESYS HMI (SL): <3.5.19.30
CODESYS Development System: < 3.5.19.30
CODESYS OPC DA Server SL: < 3.5.19.30
CODESYS Control for Linux SL: < 4.10.0.0
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
CODESYS Control RTE (SL): 3.5.19.30
CODESYS Control RTE (for Beckhoff CX) SL: 3.5.19.30
CODESYS Control Win (SL): 3.5.19.30
CODESYS HMI (SL): 3.5.19.30
CODESYS Development System: 3.5.19.30
CODESYS OPC DA Server SL: 3.5.19.30
CODESYS Control for Linux SL: 4.10.0.0
Tilvísanir:
[1] https://www.supermicro.com/en/support/security_BMC_IPMI_Oct_2023
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-3935
