Inicio / Alerta Temprana / Avisos Sci / [Actualización 20/08/2021] Múltiples vulnerabilidades en productos AVEVA

[Actualización 20/08/2021] Múltiples vulnerabilidades en productos AVEVA

Fecha de publicación: 
12/08/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • AVEVA™ System Platform 2020 R2 P01 y versiones anteriores;
  • AVEVA™ InTouch 2020 R2 P01 y versiones anteriores;
  • AVEVA™ Historian 2020 R2 P01 y versiones anteriores;
  • AVEVA™ Communication Drivers Pack 2020 R2 y versiones anteriores;
  • AVEVA™ Operations Integration Core 3.0 y versiones anteriores;
  • AVEVA™ Data Acquisition Servers todas las versiones;
  • AVEVA™ Batch Management 2020 y versiones anteriores;
  • AVEVA™ MES 2014 R2 y versiones anteriores.
Descripción: 

[Actualización 20/08/2021] AVEVA ha publicado 6 vulnerabilidades de severidad alta, notificadas por Sharon Brizinov de Claroty, de denegación de servicio y posible ejecución remota de código.

Solución: 

Aplicar la actualización de seguridad correspondiente:

Detalle: 

El servidor de SuiteLink se podría bloquear al analizar un paquete malicioso. Además, se podría realizar una ejecución remota de código, aunque no existe PoC. Los clientes de SuiteLink no están afectados por esta vulnerabilidad.

[Actualización 20/08/2021] Un desbordamiento de búfer basado en memoria dinámica (heap), una desreferencia de un puntero nulo o un control inadecuado de condiciones excepcionales en el servidor SuiteLink podrían permitir a un atacante remoto causar una condición de denegación de servicio o la ejecución de código, al procesar comandos específicos. Se han asignado los identificadores CVE-2021-32959, CVE-2021-32963, CVE-2021-32979, CVE-2021-32971, CVE-2021-32987 y CVE-2021-32999 para estas vulnerabilidades.

Encuesta valoración