Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en las respuestas de DNS en la CPU en knot-resolver (CVE-2019-19331)
Gravedad:
MediaMedia
Publication date: 16/12/2019
Last modified:
17/12/2019
Descripción:
knot-resolver versiones anteriores a 4.3.0, es vulnerable a una denegación de servicio por medio de una alta utilización de la CPU. Las respuestas de DNS con muchos registros de recursos podrían ser procesadas de manera muy ineficiente, en casos extremos, tomar incluso varios segundos de CPU para cada mensaje no almacenado en caché. Por ejemplo, algunos miles de registros A pueden ser agrupados en un mensaje DNS (el límite es 64kB).
Vulnerabilidad en el servidor web en las variantes DNP3, IEC 61850, IEC104, Modbus TCP, PROFINET IO del módulo EN100 Ethernet (CVE-2019-13942)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
19/12/2019
Descripción:
Se ha identificado una vulnerabilidad en la variante DNP3 del módulo EN100 Ethernet (todas las versiones), la variante IEC 61850 del módulo EN100 Ethernet (todas las versiones anteriores a V4.37), la variante IEC104 del módulo EN100 Ethernet (todas las versiones), la variante Modbus TCP del módulo EN100 Ethernet (todas las versiones), la variante PROFINET IO del módulo EN100 Ethernet (todas las versiones). Un usuario no autorizado podría explotar una vulnerabilidad de desbordamiento del búfer en el servidor web. Los paquetes especialmente diseñados enviados podrían causar una condición de Denegación de Servicio y, si se cumplen determinadas condiciones, los dispositivos afectados deben ser reiniciados manualmente para recuperarse por completo. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Development/Evaluation Kits para PROFINET IO (CVE-2019-10936)
Gravedad:
MediaMedia
Publication date: 10/10/2019
Last modified:
12/10/2021
Descripción:
Se ha identificado una vulnerabilidad en los Development/Evaluation Kits para PROFINET IO: DK Standard Ethernet Controller, Development/Evaluation Kits para PROFINET IO: EK-ERTEC 200, Development/Evaluation Kits para PROFINET IO: EK-ERTEC 200P, SIMATIC CFU PA, SIMATIC ET 200SP Open Controller CPU 1515SP PC (incluyendo las variantes SIPLUS), SIMATIC ET200AL, SIMATIC ET200M (incluyendo las variantes SIPLUS), SIMATIC ET200MP IM155-5 PN BA (incluyendo las variantes SIPLUS), SIMATIC ET200MP IM155-5 PN HF (incluyendo las variantes SIPLUS), SIMATIC ET200MP IM155-5 PN ST (incluyendo las variantes SIPLUS), SIMATIC ET200S (incluyendo las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN BA (incluyendo las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN HA (incluyendo las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN HF (incluyendo las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN HS (incluyendo las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN ST (incluyendo las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN/2 HF (incluyendo las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN/3 HF (incluyendo las variantes SIPLUS), SIMATIC ET200ecoPN, 16DI, DC24V, 8xM12 (6ES7141-6BH00-0AB0), SIMATIC ET200ecoPN, 16DO DC24V/1,3A, 8xM12 (6ES7142-6BH00-0AB0), SIMATIC ET200ecoPN, 4AO U/I 4xM12 (6ES7145-6HD00-0AB0), SIMATIC ET200ecoPN, 8 DIO, DC24V/1,3A, 8xM12 (6ES7147-6BG00-0AB0), SIMATIC ET200ecoPN, 8 DO, DC24V/2A, 8xM12 (6ES7142-6BR00-0AB0), SIMATIC ET200ecoPN, 8AI RTD/TC 8xM12 (6ES7144-6KD50-0AB0), SIMATIC ET200ecoPN, 8AI; 4 U/I; 4 RTD/TC 8xM12 (6ES7144-6KD00-0AB0), SIMATIC ET200ecoPN, 8DI, DC24V, 4xM12 (6ES7141-6BF00-0AB0), SIMATIC ET200ecoPN, 8DI, DC24V, 8xM12 (6ES7141-6BG00-0AB0), SIMATIC ET200ecoPN, 8DO, DC24V/0,5A, 4xM12 (6ES7142-6BF50-0AB0), SIMATIC ET200ecoPN, 8DO, DC24V/1,3A, 4xM12 (6ES7142-6BF00-0AB0), SIMATIC ET200ecoPN, 8DO, DC24V/1,3A, 8xM12 (6ES7142-6BG00-0AB0), SIMATIC ET200ecoPN: IO-Link Master (6ES7148-6JA00-0AB0), SIMATIC ET200pro, SIMATIC HMI Comparat Outdoor Panels 7" & 15" (incluyendo las variantes SIPLUS), SIMATIC HMI Comparat Panels 4" - 22" (incluyendo las variantes SIPLUS), SIMATIC HMI KTP Mobile Panels, SIMATIC PN/PN Coupler (incluyendo las variantes SIPLUS NET), SIMATIC PROFINET Driver, familia SIMATIC S7-1200 CPU (incluyendo las variantes SIPLUS), familia CPU SIMATIC S7-1500 (incluyendo las variantes relacionadas ET200 CPUs y SIPLUS), SIMATIC S7-1500 Software Controller, familia CPU SIMATIC S7-300 (incluyendo las variantes relacionadas ET200 CPUs y SIPLUS), familia CPU SIMATIC S7-400 H V6 (incluyendo las variantes SIPLUS), familia CPU SIMATIC S7-400 PN/DP V6 y anteriores CPU (incluyendo las variantes SIPLUS), familia CPU SIMATIC S7-400 PN/DP V7 (incluyendo las variantes SIPLUS), familia CPU SIMATIC S7-410 V8 (incluyendo las variantes SIPLUS), SIMATIC TDC CP51M1, SIMATIC TDC CPU555, SIMATIC WinAC RTX (F) 2010, SINAMICS DCM, SINAMICS DCP, SINAMICS G110M V4.7 PN Control Unit, SINAMICS G120 V4.7 PN Control Unit (incluyendo las variantes SIPLUS), SINAMICS G130 V4.7 Control Unit, SINAMICS G150 Control Unit, SINAMICS GH150 V4.7 Control Unit, SINAMICS GL150 V4.7 Control Unit, SINAMICS GM150 V4.7 Control Unit, SINAMICS S110 Control Unit, SINAMICS S120 V4.7 Control Unit (incluyendo las variantes SIPLUS), SINAMICS S150 Control Unit, SINAMICS SL150 V4.7 Control Unit, SINAMICS SM120 V4.7 Control Unit, SINUMERIK 828D, SINUMERIK 840D sl. Los dispositivos afectados contienen una vulnerabilidad que permite que un atacante no autenticado active una condición de denegación de servicio. La vulnerabilidad se puede desencadenar si se envía una gran cantidad de paquetes UDP especialmente diseñados al dispositivo. La vulnerabilidad de seguridad podría ser explotada por un atacante con acceso de red a los sistemas afectados. La explotación con éxito no requiere privilegios del sistema ni interacción del usuario. Un atacante podría usar la vulnerabilidad para comprometer la disponibilidad del dispositivo. En el momento de la publicación del aviso no se conocía la explotación pública de esta vulnerabilidad de seguridad