[Actualización 26/07/2022] Múltiples vulnerabilidades DoS en productos Mitsubishi Electric
Fecha de publicación:
30/11/2021
Importancia:
4 -
Alta
Recursos afectados:
- MELSEC:
- iQ-R series:
- R00/01/02CPU, versiones de firmware 24 y anteriores;
- R04/08/16/32/120(EN)CPU, versiones de firmware 57 y anteriores;
- R08/16/32/120SFCPU, todas las versiones;
- R08/16/32/120PCPU, versiones de firmware 29 y anteriores;
- R08/16/32/120PSFCPU, versiones de firmware 08 y anteriores;
- R16/32/64MTCPU, versiones de firmware 23 y anteriores;
- R12CCPU-V, versiones de firmware 16 y anteriores.
- Q series:
- Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU, los primeros 5 dígitos de los números de serie "23121" y anteriores;
- Q03/04/06/13/26UDVCPU, los primeros 5 dígitos de los números de serie "23071" y anteriores;
- Q04/06/13/26UDPVCPU, los primeros 5 dígitos de los números de serie "23071" y anteriores.
- L Series: L02/06/26CPU (-P), L26CPU-(P)BT, los primeros 5 dígitos de los números de serie "23121" y anteriores;
- iQ-R series:
- MELIPC Series: MI5122-VW, versiones de firmware 05 y anteriores.
[Actualización 27/01/2022]
Se ha corregido el nombre del modelo del producto "Productos afectados":
- Q172/173DSCPU.
[Actualización 26/04/2022]
- Q12DCCPU-V, Q24DHCCPU-V(G), Q24/26DHCCPU-LS, los primeros 5 dígitos de los números de serie "24031" y anteriores;
- MR-MQ100, versión de software del sistema operativo "F" y anteriores;
- Q172/173DCPU-S1, versión de software del sistema operativo "W" y anteriores;
- Q170MCPU, versión de software del sistema operativo "W" y anteriores.
Descripción:
El fabricante ha notificado 3 vulnerabilidades de severidad alta que podrían provocar condiciones de denegación de servicio (DoS) en los productos afectados.
Solución:
Actualizar los productos afectados:
- iQ-R Series:
- R00/01/02CPU: versión de firmware 25 o posteriores;
- R04/08/16/32/120(EN)CPU: versión de firmware 58 o posteriores;
- R08/16/32/120PCPU: versión de firmware 30 o posteriores.
- Q Series:
- Q03/04/06/13/26UDVCPU: los primeros 5 dígitos de los números de serie "23072" o posteriores;
- Q04/06/13/26UDPVCPU: los primeros 5 dígitos de los números de serie "23072" o posteriores.
- L Series
- L02/06/26CPU(-P), L26CPU-(P)BT: : los primeros 5 dígitos de los números de serie "23122" o posteriores.
[Actualización 27/01/2022]
Los siguientes módulos también han sido corregidos:
- Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU, L02/06/26CPU(-P), L26CPU-(P)BT.
[Actualización 26/04/2022]
- Q12DCCPU-V, Q24DHCCPU-V(G), Q24/26DHCCPU-LS, los primeros 5 dígitos de los números de serie "24032" y posteriores;
- MR-MQ100, versión de software del sistema operativo "G" y posteriores;
- Q172/173DCPU-S1, versión de software del sistema operativo "X" y posteriores;
- Q170MCPU, versión de software del sistema operativo "X" y posteriores.
[Actualización 31/05/2022]
- R08/16/32/120PSFCPU, versión de firmware "09" o posteriores;
- R16/32/64MTCPU, versión de software del sistema operativo "24" o posteriores.
[Actualización 26/07/2022]
- L02/06/26CPU(-P), L26CPU-(P)BT, los primeros 5 dígitos de los números de serie "23122" y posteriores;
- MELIPC Series MI522-VW, versión de firmware '06' o posterior.
Detalle:
Un atacante remoto podría detener la ejecución del programa o la comunicación Ethernet de los productos afectados mediante el envío de paquetes especialmente diseñados. Se requiere un reinicio del sistema de los productos para la recuperación. Se han asignado los identificadores CVE-2021-20609, CVE-2021-20610 y CVE-2021-20611 para estas vulnerabilidades.
Referencias: