Inicio / Alerta Temprana / Avisos Sci / Desbordamiento de búfer basado en memoria dinámica en OpenEnterprise de Emerson

Desbordamiento de búfer basado en memoria dinámica en OpenEnterprise de Emerson

Fecha de publicación: 
19/02/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • OpenEnterprise Server 2.83 está afectado si los protocolos Modbus o ROC Interfaces han sido instalados y están en uso;
  • OpenEnterprise, desde 3.1 hasta 3.3.3, todas las versiones.
Descripción: 

Roman Lozko, de Kaspersky ICS CERT, ha informado de una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (heap), que afecta al producto OpenEnterprise de Emerson.

Solución: 

Actualizar OpenEnterprise a la versión 3.3 SP4 (3.3.4), disponible desde la web de soporte de Emerson.

Detalle: 

Un script, especialmente diseñado, puede servir para ejecutar código en el servidor de OpenEnterprise, generando un desbordamiento de búfer basado en memoria dinámica (heap). Se ha reservado el identificador CVE-2020-6970 para esta vulnerabilidad.

Encuesta valoración