Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Memoriaren hondatzea Schneider Electric-en Zelio Soft-en

Argitalpen data: 2018/12/28

Garrantzia: Handia

Kaltetutako baliabideak:

  • Zelio Soft 2, 5.1 bertsioa eta lehenagokoak.

Azalpena:

9SG Security Team-eko mdm eta rgod ikertzaileek aurrez askatutako memoriaren erabilpen erako (use after free) ahultasun bat aurkitu dute. Hori baliatuz, erasotzaile batek kodea exekuta lezake urrunetik.

Konponbidea:

Schneider Electric-ek ahultasun hori konpondu egin du ZelioSoft2 v5.2 bertsioan.

Xehetasuna:

  • Bereziki aldatutako fitxategi bat erabiliz, erasotzaile batek urrunetik kodea exekutatzea lor lezake, askatutako memoriarako erreferentzien egiaztapenean dagoen akats bat baliatuz. Ahultasun horretarako CVE-2018-7817 identifikatzailea erreserbatu da.
Etiketak: Schneider Electric, Ahultasuna