关键信息 漏洞描述 漏洞编号: VDE-2024-046 发布日期: 2024-09-10 14:00 (CEST) 更新日期: 2024-09-10 17:06 (CEST) 供应商: CODESYS GmbH 受影响产品: - CODESYS OSCAT Basic Library - oscat.de OSCAT Basic Library 漏洞详情 漏洞类型: Out-of-bounds read (CWE-125) 影响: 允许本地、未经授权的攻击者访问PLC的有限内部数据,可能导致服务崩溃。 影响 漏洞描述: 在OSCAT Basic Library中,MONTH_TO_STRING函数存在越界读取漏洞。利用该漏洞可能导致有限的内部数据访问或PLC崩溃。 解决方案 缓解措施: 更新OSCAT Basic Library至3.3.5版本。 推荐措施: - 在受保护的环境中使用控制器和设备,以最小化网络暴露。 - 使用防火墙保护并隔离控制系统网络。 - 激活并应用用户管理和密码功能。 - 限制对开发和控制系统的访问。 - 使用加密通信链接。 - 如果需要远程访问,使用VPN(虚拟专用网络)隧道。 - 使用最新的病毒检测解决方案保护开发和控制系统。 报告 报告者: Corban Villa, Hithem Lamri, Constantine Doumanidis, Michail Maniatakos 协调: CERT@VDE 和 CODESYS 感谢: CODESYS GmbH 感谢所有参与者的努力。 其他信息 CVE编号: CVE-2024-6876 更新时间: 2024年9月10日,下午5:07 严重性: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L 产品: CODESYS OSCAT Basic Library, oscat.de OSCAT Basic Library 受影响版本: < 3.3.5, < 335