BDU:2015-11968

Опубликовано: 28 окт. 2015

Источник: fstec

CVSS2: 5

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения систем контроля состояния цепей электропитания Janitza UMG 508, 509, 511, 604, 605 связана с неправильной генерацией ключей сессий. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вычислить значение PIN-кода путем математических вычислений над значениями сессионных ключей

Вендор

Janitza electronics GmbH

Наименование ПО

Janitza UMG 508

Janitza UMG 605

Janitza UMG 511

Janitza UMG 509

Janitza UMG 604

Версия ПО

. (Janitza UMG 508)

. (Janitza UMG 605)

. (Janitza UMG 511)

. (Janitza UMG 509)

. (Janitza UMG 604)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

1) Обновление микропрограммного обеспечения до более новой версии:

http://www.janitza.com/experimental-downloads.html

2) Использование рекомендаций, доступных по адресу:

https://ics-cert.us-cert.gov/advisories/ICSA-15-265-03

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://ics-cert.us-cert.gov/advisories/ICSA-15-265-03

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3973
CVE

EPSS

Процентиль: 72%

0.0073

Низкий

5 Medium

CVSS2

Связанные уязвимости

CVE-2015-3973

nvd

больше 10 лет назад

Janitza UMG 508, 509, 511, 604, and 605 devices improperly generate session tokens, which makes it easier for remote attackers to determine a PIN value via unspecified computations on session-token values.

GHSA-9wg2-5mr9-5mqf