В Johnson Controls Metasys исправлены уязвимости ( 1 фото )
- 18.08.2019
- 1 531
Уязвимости позволяют злоумышленнику расшифровать перехваченный сетевой трафик.
В системах автоматизации Metasys от американской компании Johnson Controls исправлены уязвимости, позволяющие злоумышленнику расшифровать перехваченный сетевой трафик. Уязвимости затрагивают все версии Metasys до 9.0, в связи с чем пользователям рекомендуется обновить свои системы до этой версии или более поздней.
CVE-2019-7593: Серверы Metasys ADS/ADX и движки NAE/NIE/NCE используют одну и ту же пару ключей RSA для выполнения некоторых криптографических операций, задействующих Site Management Portal (SMP). Атакующий с доступом к общей паре ключей шифрования может расшифровать перехваченный трафик, передаваемый между серверами Metasys ADS/ADX или движками NAE/NIE/NCE и SMP-клиентом пользователя.
По системе оценивания опасности уязвимостей CVSS v3 проблема получила 6,8 балла из максимальных 10.
CVE-2019-7594: Серверы Metasys ADS/ADX и движки NAE/NIE/NCE используют вшитые ключи RC2 для выполнения некоторых криптографических операций, задействующих Site Management Portal (SMP). Злоумышленник с доступом к вшитым ключам шифрования может расшифровать перехваченный трафик, передаваемый между серверами Metasys ADS/ADX или движками NAE/NIE/NCE и SMP-клиентом пользователя.
По системе оценивания опасности уязвимостей CVSS v3 проблема получила 6,8 балла из максимальных 10.
Материал взят: Тут