Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/08/28

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

• enteliBUS Manager, firmwarearen 3.40 R5 build 571848 bertsioa eta lehenagokoak;

• enteliBUS Manager Touch (eBMGR-TCH), firmwarearen 3.40 R5 build 571848 bertsioa eta lehenagokoak;

• enteliBUS Controller (eBCON), firmwarearen 3.40 R5 build 571848 bertsioa eta lehenagokoak.

Azalpena: 

McAfee Advanced Threat Research-eko Douglas McKee eta Mark Bereza ikertzaileek Delta Controls-en enteliBUS Controllers ekipamenduari eragiten dion bufferraren gainezkatze erako ahultasun baten berri eman dute. Sare berean dagoen erasotzaile batek gailurako sarbide osoa lor lezake eta kodea exekutatu administratzaile pribilegioekin.

Konponbidea: 

Delta Controls-ek enteliBUS 3.40 R6 build 612850 eguneraketa argitaratu du.Firmware berri hau partner erregistratuek soilik eskura dezakete. Eguneraketa lortzeko Delta Controls-ekin edo banatzaile batekin harremanetan jartzea gomendatzen da.

Xehetasuna: 

Bufferraren gainezkatze erako ahultasunaren arrazoia sarreraren baliozkotze falta da. Erasotzaile batek kode arbitrarioa exekuta lezake. Ahultasun horretarako CVE-2019-9569 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna