Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Informazioaren zabalkundea Johnson Controls-en Metasys eta BCPro-n

Argitalpen data: 2018/08/01

Garrantzia: Ertaina

Kaltetutako baliabideak:

  • Metasys System, 8.0 bertsioa eta lehenagokoak
  • BCPro (BCM), 3.0.2 bertsioaren aurreko guztiak

Azalpena:

Zingbox-eko Dan Regalado ikertzaileak informazioaren zabalkunde erako ahultasun bat identifikatu du, Johnson Controls-en produktuei eragiten diena. Erasotzaile batek informazio teknikoa eskura lezake.

Konponbidea:

Metasys-en ahultasuna v8.1 bertsioan zuzendu zen, baina hala ere, produktuaren azken bertsiora, 9.0ra, eguneratu beharra dago. Ahultasuna konpontzeko BCPro Workstationeko erabiltzaileek v3.0 bertsiora eguneratu beharra dute eta BACnet Router eta Gatewaykoek 3.0.2 bertsiora.

Xehetasuna:

Ahultasun hau HTTPn oinarritzen diren zerbitzariarekiko komunikazioen akatsen kudeaketa desegokiaren ondorioa da, eta horrek eragin lezake erasotzaile batek informazio teknikoa eskuratu ahal izatea. Ahultasun horretarako CVE-2018-10624 identifikatzailea erabili da.

Etiketak: Komunikazioak, Ahultasuna