Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de denegación de servicio en Hitachi Energy PCU400

Vulnerabilidad de denegación de servicio en Hitachi Energy PCU400

Fecha de publicación: 
20/01/2023
Identificador: 
INCIBE-2023-0021
Importancia: 
4 - Alta
Recursos afectados: 
  • Versiones de PCU400 9.3.0 hasta la 9.3.8, pero sin incluirla;
  • Herramienta PCULogger versión 1.0.1.
Descripción: 

Hitachi Energy ha informado de dos vulnerabilidades en la versión de la liberaría OpenSSL incluida en los sistemas, que podría causar una condición de denegación de servicio, tanto en la función de registro del dispositivo, como en su servidor asociado.

Solución: 

Se recomienda actualizar los productos a las siguientes versiones:

  • PCU400: versión 9.3.8, o 9.4, o posterior;
  • PCULogger: versión 1.1.0 o posterior.
Detalle: 

Las vulnerabilidades de severidad alta, encontradas tanto en PCU400, como en PCULogger, se producen al integrar una versión de OpenSSL con una vulnerabilidad por un desbordamiento de búfer en la verificación del certificado X.509, específicamente en la verificación de restricciones de nombre. Esta vulnerabilidad podría explotarse si se usa un certificado TLS malicioso para asegurar la comunicación entre PCU400 y PCULogger, pudiendo causar una denegación de servicio en ambos. Se han asignado los identificadores CVE-2022-3602 y CVE-2022-3786 para estas vulnerabilidades.

Encuesta valoración