Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos de Bosch

Fecha de publicación: 04/04/2019

Importancia: Crítica

Recursos afectados:

  • Access Easy Controller (AEC), versiones anteriores a 2.1.8.5 (inclusive), 2.1.9.0, 2.1.9.1 y 2.1.9.3
  • Access Professional Edition (APE), versiones anteriores a la 3.0 y de la 3.0 a la 3.7 (solo si el componente VSDK está instalado)
  • Bosch DIVAR IP 2000 y 5000
  • Bosch DIVAR IP 3000
  • Bosch DIVAR IP 7000, Gen1 y Gen2
  • Bosch Video Client (BVC)
  • Bosch Video Management Systems (BVMS), versiones 6.0, 6.5, 7.0, 7.5, 8.0 y 9.0
  • Bosch Video Streaming Gateway (VSG)
  • Building Integration System (BIS), versiones de la 2.2 a la 4.4 incluyendo 4.5, 4.6 y 4.6.1
  • Configuration Manager
  • Video Recording Manager (VRM)
  • Video SDK (VSDK)

Descripción:

Se han descubierto cuatro vulnerabilidades, algunas de ellas reportadas por el investigador independiente Adrián Quirós Godoy que afectan a productos Bosch. Estas vulnerabilidades, dos de ellas críticas, son de tipo desbordamiento de búfer, control de acceso inadecuado, redireccionamiento abierto y salto de directorio. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto no autorizado, la lectura y escritura en el sistema mediante inyección de comandos RCP , tener acceso a directorios y archivos y ejecutar código arbitrario en el sistema.

Solución:

Detalle:

  • Desbordamiento de búfer en el analizador (parser) de RCP : un atacante podría ejecutar código de manera remota al no verificarse el tamaño de entrada. Se ha reservado el CVE-2019-6957 para esta vulnerabilidad.
  • Control de acceso inadecuado: el puerto RCP permite acceso sin autenticación. Un atacante remoto podría borrar o leer datos de un video. Se ha reservado el CVE-2019-6958 para esta vulnerabilidad.
  • Redireccionamiento abierto: un atacante remoto podría redirigir a los usuarios a una URL con contenido malicioso. Se ha reservado el CVE-2019-8951 para esta vulnerabilidad.
  • Salto de directorio: un atacante podría acceder a sistemas de archivos y acceder a archivos o directorios restringidos. Se ha reservado el CVE-2019-8952 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad