BDU:2022-03995: Уязвимость среды исполнения CODESYS Runtime Toolkit, вызванная переполнением буфера в динамической памяти, позволяющая нарушителю вызвать отказ в обслуживании или перезаписать область памяти

Описание уязвимости Уязвимость среды исполнения CODESYS Runtime Toolkit вызвана переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или перезаписать область памяти путем отправки специально сформированного запроса
Вендор 3S-Smart Software Solutions GmbH
Наименование ПО CODESYS Runtime Toolkit, PLCWinNT
Версия ПО до 2.4.7.57 включительно (CODESYS Runtime Toolkit), до 2.4.7.57 включительно (PLCWinNT)
Тип ПО Программное средство АСУ ТП, Средство АСУ ТП
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Переполнение буфера в куче
Идентификатор типа ошибки CWE-122
Класс уязвимости Уязвимость кода
Дата выявления 24.06.2022
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование физического либо логического разграничения доступа к устройствам с CODESYS Runtime путем разграничения межсетевыми экранами с выделением отдельной подсети;
- использование средств обнаружения вторжений.
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются