Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Mugez kanpoko irakurketa Delta Electronics-en Delta Industrial Automation PMSoft-en

Argitalpen data: 2018/09/28

Garrantzia: Ertaina

Kaltetutako baliabideak:

  • Delta Industrial Automation PMSoft v2.11 edo lehenagokoak.

Azalpena:

Zero Day Initiativeko Mat Powell ikertzaileak eman du mugez kanpoko irakurketa erako ahultasun honen berri. Arrakastaz baliatuz gero urruneko erasotzaile batek informazio konfidentziala irakur lezake.

Konponbidea:

  • Delta Electronics-ek kaltetutako bezeroei aholkatzen die PMSoft (v2.12) softwarearen azken bertsiora eguneratzea, 2018ko irailaren 18az geroztik eskuragarri dagoena, edo bestela eskuragarri dauden ondoreneko bertsioetara eguneratzea.

Xehetasuna:

  • PPM fitxategien maneiatzaileak modu desegokian balioztatzen ditu erabiltzaileak emandako datuak. Hori baliatuz urruneko erasotzaile batek bufferrari esleitu zaizkion mugetatik harago irakurketak egin litzake. Ondorioz informazio konfidentziala irakur liteke edo ahultasun hori beste eraso teknika batzuekin batera erabil liteke kode gaiztoa exekutatzeko. Ahultasun horretarako CVE-2018-14824 identifikatzailea erabili da.
Etiketak: Edukien kudeatzailea, Pribatutasuna, Ahultasuna