PT-2020-10062 · Opc Foundation · Opc Ua .Net Standard Stack
Publicado
2020-03-16
·
Atualizado
2021-07-21
·
CVE-2019-19135
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 1.4.357.28 a 1.4.359.30 do código-fonte OPC Foundation OPC UA .NET Standard
Descrição
A vulnerabilidade permite que invasores do tipo man-in-the-middle reutilizem credenciais de usuário criptografadas enviadas pela rede devido à geração de números aleatórios insuficientes pelos servidores. Isso afeta cenários em que a
SecurityPolicy é None e é utilizada autenticação por nome de usuário/senha ou baseada em X509, particularmente quando o servidor apresenta um defeito que o leva a enviar nonces nulos/vazios ou zerados.Recomendações
Para as versões 1.4.357.28 a 1.4.359.30, atualize para a versão 1.4.359.31 ou posterior para resolver o problema.
Como solução alternativa temporária, considere evitar o uso de autenticação por nome de usuário/senha ou baseada em X509 com uma
SecurityPolicy definida como None até que a atualização seja aplicada.Correção
Use of Insufficiently Random Values
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Opc Ua .Net Standard Stack