ABB

Descripción

ABB ha publicado múltiples vulnerabilidades que podrían permitir a un atacante abusar de las funcionalidades de los productos afectados.

• Las vulnerabilidades críticas que afectan al producto ABB Ability™ Symphony®Plus Operations y ABB Ability™ Symphony®Plus Historian, son del tipo:

  SQL Injection. Se ha asignado el identificador CVE-2020-24673 para esta vulnerabilidad.

  Método de autenticación débil. Se ha asignado el identificador CVE-2020-24675 para esta vulnerabilidad.

  Omisión de autenticación. Solo afecta a S+ Operations. Se ha asignado el identificador CVE-2020-24683 para esta vulnerabilidad.

• Las vulnerabilidades críticas que afectan a los productos Sym-phony Plus, Composer Harmony, Composer Melody y HarmonyOPC Server, son del tipo:

  XXE. Se ha asignado el identificador CVE-2020-8479 para esta vulnerabilidad.

  Divulgación de información. Se ha asignado el identificador CVE-2020-8481 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-24674, CVE-2020-24676, CVE-2020-24677, CVE-2020-24678, CVE-2020-24679, CVE-2020-24680, CVE-2020-8481 y CVE-2020-8471.

Recursos afectados

• ABB Ability™ Symphony®Plus:

  S+ Operations 1.1;

  S+ Operations 2.0, todos los Service Packs;

  S+ Operations 2.1, Service Pack 1 (SP1), para Melody y otros Heritage systems;

  S+ Operations 2.1, Service Pack 2 (SP2);

  S+ Operations 3.0;

  S+ Operations 3.1;

  S+ Operations 3.2;

  S+ Operations 3.3.

• ABB Ability™ Symphony®Plus:

  S+ Historian 3.0 y 3.1.

• ABB Central Licensing System (CLS) en ABB Ability™ Symphony Plus Operations (desde la 3.0 hasta la 3.3);
• ABB Central Licensing System (CLS) en ABB Ability™ Symphony Plus Engineering (desde la 1.0 hasta la 2.3);
• ABB Central Licensing System (CLS) en Composer Harmony (5.1, 6.0 y 6.1);
• ABB Central Licensing System (CLS) en Composer Melody (5.3 y 6.1);
• ABB Central Licensing System (CLS) en HarmonyOPC Server (6.0, 6.1 y 7.0).

Solución

• Para S+ Operations:

  Actualizar a la versión 3.3 Service Pack 1.

• Para S+ Operations, versiones anteriores a la 3.X, se preveen tres actualizaciones:

  Q4 2020: S+ Operations 2.1 SP 2 Rollup 2 (Harmony, SD y Freelance);

• Q1 2021: S+ Operations 2.2 (Melody y Procontrol P14);
• Q3 2021: S+ Operations 2.2 Rollup 1 (Procontrol P13).
• Para ABB Ability™ Symphony®Plus:

  Actualizar a S+ Historian 3.2.

• Para Sym-phony Plus, Composer Harmony, Composer Melody y HarmonyOPC Server:

  Actualizar a la última versión disponible y aplicar las medidas de seguridad genéricas, descritas en el aviso 2PAA121231.

Referencias

SECURITY Multiple Vulnerabilities in Symphony® Plus Operations

SECURITY Multiple Vulnerabilities in Symphony® PlusHistorian