В Johnson Controls Metasys исправлены уязвимости ( 1 фото )

Уязвимости позволяют злоумышленнику расшифровать перехваченный сетевой трафик.

В системах автоматизации Metasys от американской компании Johnson Controls исправлены уязвимости, позволяющие злоумышленнику расшифровать перехваченный сетевой трафик. Уязвимости затрагивают все версии Metasys до 9.0, в связи с чем пользователям рекомендуется обновить свои системы до этой версии или более поздней.

CVE-2019-7593: Серверы Metasys ADS/ADX и движки NAE/NIE/NCE используют одну и ту же пару ключей RSA для выполнения некоторых криптографических операций, задействующих Site Management Portal (SMP). Атакующий с доступом к общей паре ключей шифрования может расшифровать перехваченный трафик, передаваемый между серверами Metasys ADS/ADX или движками NAE/NIE/NCE и SMP-клиентом пользователя.

По системе оценивания опасности уязвимостей CVSS v3 проблема получила 6,8 балла из максимальных 10.

CVE-2019-7594: Серверы Metasys ADS/ADX и движки NAE/NIE/NCE используют вшитые ключи RC2 для выполнения некоторых криптографических операций, задействующих Site Management Portal (SMP). Злоумышленник с доступом к вшитым ключам шифрования может расшифровать перехваченный трафик, передаваемый между серверами Metasys ADS/ADX или движками NAE/NIE/NCE и SMP-клиентом пользователя.

По системе оценивания опасности уязвимостей CVSS v3 проблема получила 6,8 балла из максимальных 10.