Argitalpen data: 2020/01/08
Garrantzia: Kritikoa
Kaltetutako baliabideak:
SyncBox/PTP eta SyncBox/PTPv2ren bertsio guztiak, erabiltzaileak berak eskuz host SSHren inolako gakorik ordezkatu ez badu.
Azalpena:
Simon Winter ikertzaileak SyncBox gailuei eragiten ahultasun baten berri eman du. Ahultasun hori arrakastaz baliatuz gero urruneko erasotzaile batek man-in-the-middle erako erasoak egin litzake modu errazagoan eta gailuaren kredentzialak eskuratu.
Konponbidea:
Meinberg-ek gomendatzen du gailuetan erabilitako SSH gakoak ordezkatzea bere firmware-a eguneratzeko garatutako tresna erabiliz.
Xehetasuna:
SyncBox gailuek lehenetsitako SSH gakoak erabiltzen dituzte. Horrek eragiten du MitM (man-in-the-middle) erako erasoak emankorragoak izatea, administratzaile sarbidearen kredentzialak eskuratu nahi direnean sarearen bitartez passphrase-aren kontsulta bat egin gabe. Ahultasun horretarako CVE-2019-17584 identifikatzailea erreserbatu da.
Etiketak: Komunikazioak, Ahultasuna