Ejecución de código en productos de B&R Industrial Automation

Fecha de publicación: 

18/03/2022

Importancia: 

5 - Crítica

Recursos afectados: 

• B&R APROL AutoYaST: versiones V4.2-064.0.21100 y anteriores;
• Apache Directory Studio (via APROL AutoYaST): versiones V4.2-064.0.211004 y anteriores;
• Squirrel-sql: versiones 3.9.0 y anteriores;
• JSignPDF: versiones 1.6.4 y anteriores;
• JasperReports-Server: versiones 7.1.3 y anteriores;
• Jaspersoft Studio Pro: versiones 7.1.0 y anteriores.

Descripción: 

B&R Industrial Automation ha reportado una vulnerabilidad crítica, por la que un atacante podría realizar una ejecución de código.

Solución: 

• B&R APROL AutoYaST, versiones V4.2-064.0.211004 y anteriores, actualizar a V4.2-064.0.220131;
• Apache Directory Studio (via APROL AutoYaST), versiones V4.2-064.0.211004 y anteriores, actualizar a via APROL AutoYaST V4.2-064.0.220131;
• Squirrel-sql, versiones 3.9.0 via APROL y anteriores, actualizar a V4.2-064.0.220131;
• JSignPDF, versión 1.6.4, actualizar a 2.1.0 via APROL R4.2-06 P8, planificado para segundo trimestre 2022;
• JasperReports-Server, versiones 7.1.3 y anteriores, actualizar a 7.9.1, planificado para tercer trimestre 2022;
• Jaspersoft Studio Pro, versiones 7.1.0 y anteriores, planificado para tercer trimestre 2022.

Detalle: 

Las versiones del componente de software de terceros Apache Chainsaw <2.1.0 están afectadas por un problema de deserialización, que forma parte del componente de software de terceros Apache Log4j, versiones 1.x. Se ha asignado el identificador CVE-2022-23307 para esta vulnerabilidad.

Referencias: 

Cyber Security Advisory #02/2022 A flaw in Chainsaw component of Log4j can lead to code execution

Etiquetas: 

Actualización

Apache

Infraestructuras críticas

Vulnerabilidad