Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kontrolatu gabeko bilaketa bidearen elementua Fazecast-en jSerialComm-en

Argitalpen data: 2020/05/06

Garrantzia: Altua

Kaltetutako baliabideak: 

  • jSerialComm, 2.2.2 eta lehenagoko bertsioak;
  • Schneider Electricen EcoStruxure IT Gateway, 1.5.x, 1.6.x eta 1.7.x bertsioak.

Azalpena: 

Securifera-ko Ryan Wincey ikertzaileak, Trend Microko ZDErekin lankidetzan, Fazecast jSerialComm-ek duen larritasun altuko ahultasun baten berri eman dio CISAri, kontrolatu gabeko bilaketa bidearen elementu erakoa.

Konponbidea: 

  • Fazecast-ek gomendatzen du jSerialComm 2.3 edo geroagoko bertsioetara eguneratzea;
  • Schneider Electricek gomendatzen du EcoStruxure IT Gateway 1.8.1 edo geroagoko bertsioetara eguneratzea.

Xehetasuna: 

Aurkitutako ahultasuna baliatuz, autentifikatu gabeko urruneko erasotzaile batek kode arbitrarioaren exekuzioa egin lezake xede sisteman, software-aren instalazioan existitzen den edozein DLLren izen berdina duen asmo gaiztoko DLL fitxategi bat erabiliz. Ahultasun horretarako CVE-2020-10626 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna