拒绝服务在力士乐ActiveMover使用Profinet协议

咨询信息

• 咨询ID:raybet雷竞技ios下载博世- sa - 637429
• CVE编号和CVSS v3.1分数:
  • cve - 2021 - 20986
    • 基础分数:7.5(高)
• 发表:2021年3月31日
• 最后更新:2022年1月26日

总结

ActiveMover Profinet通讯模块(博世力士乐没有。3842 559 445)出售的博世力士乐包raybet雷竞技ios下载含通信技术从赫尔胥(PROFINET IO设备V3)发现了脆弱性严重程度高。一个拒绝服务漏洞可能导致意想不到的损失循环通信或无环通信中断。

的漏洞只会影响ActiveMover Profinet固件版本低于3.0.32.x通信模块。如果产品用于关闭(机器)网络没有访问互联网漏洞的风险很低。

ActiveMover有网络耦合器赫尔胥协议栈。这赫尔胥协议栈(PROFINET IO设备V3)不适当限制可用资源处理阅读隐含的请求服务时,根据请求的内容。这可能会导致资源短缺,影响设备

• 不再执行非循环的请求吗

• 可以放弃所有循环建立连接吗

• 可以从网络完全消失吗

受影响的产品

• 博世力士乐ActiveMover与< 3.0.32固件版本。x配置:使用Profinet通信模块(博世力士乐的不行。3842 559 445)

解决方案和移植

(机器)网络关闭

实际上是没有解决办法。然而,博世力士乐产raybet雷竞技ios下载品推荐操作在一个封闭的(机)网络没有接入互联网并实施以下措施:

• 最小化网络曝光和确保产品不通过互联网访问。

• 网络分割/防火墙:从公司网络隔离受影响的产品。

• 如果需要远程访问,使用安全的方法,如虚拟专用网络(vpn)。

与这些措施漏洞的风险很低。

漏洞细节

cve - 2021 - 20986

ActiveMover有网络耦合器赫尔胥协议栈。这赫尔胥协议栈(PROFINET IO设备V3)不适当限制可用资源处理阅读隐含的请求服务时,根据请求的内容。这可能会导致资源短缺,影响设备

• 不再执行非循环的请求吗

• 可以放弃所有循环建立连接吗

• 可以从网络完全消失吗

CVE描述:一个拒绝服务漏洞被发现在赫尔胥PROFINET IO设备V3 V3.14.0.7之前的版本。这可能会导致意想不到的损失循环通信或无环通信中断。

• 问题类型:
  • cwe - 787界外写
• CVSS向量字符串:CVSS: 3.0 / AV: N /交流:L /公关:UI: N / N / S: U / C: N /我:N / A: H
  • 基础分数:7.5(高)

备注

脆弱性分类进行使用CVSS v3.1评分系统。CVSS环境得分是特定于每个客户的环境,应该定义为客户达到最终得分。

额外的资源

• [1]赫尔胥安全咨询:否认https://kb.hilscher.com/display/ISMS/2020-12-03 + + +服务+漏洞+在+ PROFINET + IO +设备

请联系博世PSIRT如果你有反馈,评论raybet雷竞技ios下载,或额外的信息关于这个漏洞:psirt@raybet雷竞技ios下载bosch.com。

修订历史

• 2022年1月26日:添加固件版本
• 2021年3月31日:首次出版