Alvarlegir veikleikar í Supermicro og CODESYS

Tilkynnt var um nokkra alvarlega veikleika í BMC IPMI hjá Supermicro. Einnig var tilkynnt um veikleika í WIBU CodeMeter sem notað er í vörum CODESYS. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður og útfæra þær mótvægisaðgerðir samkvæmt upplýsingum frá fyrirtæki eins fljótt og auðið er. 

Alvarlegir veikleikar (e. critical) 

Supermicro BMC IPMI 

Veikleikarnir CVE-2023-40284 til CVE-2023-40290 með CVSSv3 skor frá 7.2 til 8.3 geta gert ógnaraðila kleift að framkvæma skipana innspýtingu (e. command injection) og XSS (e. cross-site scripting). Veikleikinn er til staðar í Supermicro BMC X11, H11, B11, CMM, M11 og H12 móðurborðunum. Meðan uppfærsla hefur ekki verið framkvæmd mælir Supermicro með að útfæra mótvægisaðgerðir [1]. 

WIBU CodeMeter 

Veikleikinn CVE-2023-3935 með CVSSv3 veikleikastig upp á 9.8 er hrúgubiðminna yfirflæða veikleiki (e. heap buffer overflow vulnerability). Óauðkenndur ógnaraðili sem misnotar veikleikann getur fjarkeyrt kóða og fengið fulla stjórn á kerfi sem hýsir þjónustuna [2]. 

Eftirfarandi kerfi eru veik fyrir gallanum: 

CODESYS SP Realtime NT starting: frá 2.3.7.25 
CODESYS Control RTE (SL): < 3.5.19.30 
CODESYS Control RTE (for Beckhoff CX) SL: < 3.5.19.30 
CODESYS Control Win (SL): < 3.5.19.30 
CODESYS HMI (SL): <3.5.19.30 
CODESYS Development System: < 3.5.19.30 
CODESYS OPC DA Server SL: < 3.5.19.30 
CODESYS Control for Linux SL: < 4.10.0.0 

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum: 

CODESYS Control RTE (SL): 3.5.19.30 
CODESYS Control RTE (for Beckhoff CX) SL: 3.5.19.30 
CODESYS Control Win (SL): 3.5.19.30 
CODESYS HMI (SL): 3.5.19.30 
CODESYS Development System: 3.5.19.30 
CODESYS OPC DA Server SL: 3.5.19.30 
CODESYS Control for Linux SL: 4.10.0.0 

Tilvísanir: 

[1] https://www.supermicro.com/en/support/security_BMC_IPMI_Oct_2023 
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-3935