Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/06/03

Garrantzia: Handia

Kaltetutako baliabideak: 

PACTware, bertsioak:

• 5.0.4.xx eta aurrekoak;
• 4.1 SP5 eta aurrekoak;
• 3.X eta aurrekoak;
• 2.4 eta aurrekoak;

Deskripzioa: 

Dragos Inc konpainiako Reid Wightmanek, [email protected] eta BSI erakundeek koordinatuta, bi ahultasunen berri eman du kaltetutako produktuen pasahitzen kudeaketaren inguruan.

Konponbidea: 

PACTware 5.0.5.31, PACTware 4.1 SP6 edo goragoko bertsioak eguneratzea.

Xehetasuna: 

PACTware markak aukera ematen du "erabiltzaile rolak" erabiltzeko, FDT zuzentarauen araberako sarbidea mugatuz. Hala ere, berez ez da pasahitzik ezartzen, eta erabiltzaileak administrari rola dauka, inolako mugarik gabe.

Erabiltzaileak rolen sarbide-kontrola gaitzen badu, rol bakoitza pasahitz indibidual baten bidez babestu daiteke.

• Doikuntza horiek tokiko erabiltzaile batek aldatu ditzake inolako egiaztatzerik gabe, eta horren ondorioz rolaren habilitazioa aldatzeko aukera egon daiteke, baita rolen pasahitzak ere, aldez aurretik ezer egiaztatu beharrik gabe. Ahultasun horretarako, CVE-2020-9404 identifikatzailea erreserbatu da.
• Doikuntzak egiaztatu gabeko tokiko erabiltzaile batek irakur ditzake. Posible da rolen pasahitzak berreskuratzea, pasahitzak aldez aurretik ezarritakoak badira. Ahultasun horretarako, CVE-2020-9403 identifikatzailea erreserbatu da.

Erabiltzaileak ez baditu banakako rolak gaitu, erasotzaile batek rol horiek habilitatu eta pasahitzak eman ahalko lizkieke. Horren ondorioz, benetako erabiltzaileek softwarea erabiltzen dute.

Etiketak: Eguneraketa, Ahultasuna