CVE-2020-27267

KEPServerEX, versões 6.0 a 6.9

ThingWorx Kepware Server, versões 6.8 a 6.9

ThingWorx Industrial Connectivity (todas as versões)

OPC-Aggregator (todas as versões)

Rockwell Automation KEPServer Enterprise (versões afetadas não especificadas)

GE Digital Industrial Gateway Server versões 7.66 a 7.68.804

Software Toolbox TOP Server versões 6.x

O problema está relacionado a um estouro de buffer baseado em heap que pode ser acionado pela abertura de uma mensagem OPC UA criada especificamente para esse fim. Isso poderia permitir que um invasor causasse uma falha no servidor e, potencialmente, vazasse dados. A vulnerabilidade pode ser explorada remotamente, levando a uma negação de serviço.

Para as versões 6.0 a 6.9 do KEPServerEX, atualize para uma versão que inclua uma correção para o problema de estouro de buffer baseado em heap.

Para as versões 6.8 e 6.9 do ThingWorx Kepware Server, atualize para uma versão que inclua uma correção para o problema de estouro de buffer baseado em heap.

Para o ThingWorx Industrial Connectivity, restrinja o acesso à funcionalidade de tratamento de mensagens OPC UA até que um patch esteja disponível.

Para o OPC-Aggregator, evite processar mensagens OPC UA especialmente criadas até que uma correção seja aplicada.

Para o Rockwell Automation KEPServer Enterprise, entre em contato com o fornecedor para obter orientações específicas sobre como mitigar o problema.

Para o GE Digital Industrial Gateway Server, versões 7.66 a 7.68.804, atualize para uma versão que inclua uma correção para o problema de estouro de buffer baseado em heap.

Para o Software Toolbox TOP Serv