Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Sarbideen kontrol desegokia Bosch-en Video Recording Manager-en

Argitalpen data: 2019/05/10

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • Bosch Diver IP 5000, 3.80.0033, 3.80.0035 eta 3.80.0037 bertsioak.
  • Bosch Video Recording Manager, 3.70.0056, 3.70.0058, 3.70.0060, 3.70.0062, 3.71.0022, 3.71.0029, 3.71.0031, 3.71.0032, 3.81.0032, 3.81.0038 eta 3.81.0048 bertsioak.
  • Bosch Video Management System, 7.5 eta 8.0 bertsioak, VRMren ondorengo bertsio ahulak erabiltzen dituztenak: 3.70.0056, 3.70.0058, 3.70.0060, 3.70.0062, 3.71.0022, 3.71.0029, 3.71.0031, 3.71.0032.
  • Bosch Video Management System, 9.0 bertsioa, VRMren honako bertsio ahul hauek erabiltzen dituena: 3.81.0032, 3.81.0038, 3.81.0048.

Azalpena: 

Bosch-ek sarbideen kontrol desegoki erako ahultasun baten berri eman du, bere Video Recording Manager (VRM) softwareari eragiten diona. Hori baliatuz, autentifikaziorik gabeko urruneko erasotzaile batek sarbidea lor lezake ziurtagirien azpimultzo mugatu batera.

Konponbidea:

Bere produktuen kasuan Bosch-ek honako hau gomendatzen du:

  • DIVAR IP 5000 3.80ren kasuan, 3.80.0039 firmware bertsiora eguneratzea
  • Video Recording Manager-en kasuan: 
    • 3.70 bertsioaren kasuan, 3.71.0034 bertsiora eguneratzea.
    • 3.71 bertsioaren kasuan, 3.71.0034 bertsiora eguneratzea.
    • 3.81 bertsioaren kasuan, 3.81.0050 bertsiora eguneratzea.
  • Bosch Video Management System-en kasuan: 
    • 7.5 eta 8.0 bertsioen kasuan, VRM 3.71.0034 bertsiora eguneratzea.
    • 9.0 bertsioaren kasuan, VRMren 3.81.0050 bertsiora eguneratzea.

Xehetasuna: 

  • Sarbideen kontrol desegoki erako ahultasun bat dauka Bosch-en Video Recording Manager softwareak. Hori baliatuz, autentifikaziorik gabeko urruneko erasotzaile batek sarbidea lor lezake sistema eragilean gordetako ziurtagirien azpimultzo batera. Ahultasun horretarako CVE-2019-11684 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna