Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/06/02

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

 Demonio pppd (Point to Point Protocol Daemon), 2.4.2 bertsiotik 2.4.8 bertsiora.

• Kaltetutako fabrikatzaileak: 
  • Phoenix Conctac: 
    • FL MGUARD, TC MGUARD, TC ROUTER eta TC CLOUD CLIENT gailuak.

Deskripzioa: 

IOActive etxeko Ilja Van Sprundel ikertzaileak demonio pppd sistemari eragiten dion ahultasun kritiko bat atzeman du. Egiaztatu gabeko urrutiko erasotzaile batek buferrak gainezka egitea eragin dezake, eta, horrela, sisteman kode arbitrario bat exekutatu.

Konponbidea: 

Eskuragarri dagoen azken pppd partxea aplikatzea, horretan dauden konfigurazioen arabera. Informazio gehiago izateko, kontsultatu Erreferentzien atala.

Xehetasuna: 

Demonio pppd sistemako Extensible Authentication Protocol (EAP) paketeen prozesatzearen akats baten ondorioz, egiaztatu gabeko urruneko erasotzaile batek buferrak gainezka egitea eragin dezake, eta sisteman kode arbitrario bat exekutatu lezake. Ahultasun horretarako, CVE-2020-8597 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Komunikazioak, Ahultasuna