Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Validación incorrecta en parámetros de entrada en productos de General Electric

Fecha de publicación: 18/05/2018

Importancia: Alta

Recursos afectados:

  • PACSystems RX3i CPE305/310 versión 9.20 y anteriores.
  • RX3i CPE330 versión 9.21 y anteriores.
  • RX3i CPE 400 versión 9.30 y anteriores.
  • PACSystems RSTi-EP CPE 100 todas las versiones.
  • PACSystems CPU320/CRU320 y RXi todas las versiones.

Descripción:

Younes Dragoni de Nozomi Networks ha reportado al NCCIC esta vulnerabilidad de tipo validación incorrecta en parámetros de entrada. La explotación remota de esta vulnerabilidad permitiría a un posible atacante causar un reinicio en el sistema afectado o cambios en el estado del dispositivo. Este hecho provocaría un estado de indisponibilidad del dispositivo afectado.

Solución:

General Electric ha publicado una nueva versión de firmware que mitiga esta vulnerabilidad.

Detalle:

  • Validación incorrecta en parámetros de entrada. Esta vulnerabilidad permitiría a un posible atacante causar un estado de indisponibilidad en el dispositivo afectado gracias al envío de peticiones con paquetes especialmente diseñados. Para esta vulnerabilidad se ha reservado el identificador CVE-2018-8867.

Etiquetas: Actualización, Vulnerabilidad