Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en Facility Explorer de Johnson Controls

Fecha de publicación: 23/01/2019

Importancia: Crítica

Recursos afectados:

  • Facility Explorer versiones 14.X anteriores a la versión 14.4u1
  • Facility Explorer versiones 6.X anteriores a la 6.6

Descripción:

Tridium identificó múltiples vulnerabilidades que afectan a los productos de automatización Facility Explorer de Johnson Controls. Un atacante podría acceder al sistema aprovechando una gestión incorrecta de las contraseñas y obtener acceso a los ficheros para su lectura, modificación, eliminación e incluso obtener permisos de administrador.

Solución:

Johnson Controls ha mitigado estas vulnerabilidades en versiones posteriores del producto. Los usuarios deben actualizar sus versiones a una segura, se recomienda la versión (FX14.6).

  • Facility Explorer 14.6 (Fecha de lanzamiento septiembre 2018).
  • Facility Explorer 14.4u1 (Fecha de lanzamiento agosto 2018).
  • Facility Explorer 6.6 (Fecha de lanzamiento agosto 2018).

Detalle:

  • Un atacante con acceso al sistema Facility Explorer y permisos de administrador, podría realizar una vulnerabilidad del tipo de salto de directorio (?path traversal?), para acceder a ficheros sin permisos o directorios restringidos. Se ha asignado el identificador CVE-2017-16744 para esta vulnerabilidad.
  • Un fallo en las cuentas de usuario deshabilitadas con el campo contraseña en blanco, podría permitir a un atacante acceder al sistema con permisos de administrador. Se ha asignado el identificador CVE-2017-16748 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad