Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Múliples vulnerabilidades en varios productos de Endress Hauser

Fecha de publicación: 20/11/2020

Importancia: Crítica

Recursos afectados:

  • Para la vulnerabilidad CVE-2020-12495:
    • Ecograph T: versiones de firmware igual o superiores a 1.0.0 (07/2013);
    • Ecograph T Neutral/Private Label; versiones de firmware anteriores a 2.0.0 (08/2015).
  • Para la vulnerabilidad CVE-2020-12496, versiones de firmware igual o superiores a 2.0.0 (08/2015) en los siguientes productos:
    • Ecograph T,
    • Memograph M,
    • Ecograph T Neutral/Private Label,
    • Memograph M Neutral/Private Label.

Descripción:

El investigador, Maxim Rupp, ha reportado al fabricante Endress Hauser 2 vulnerabilidades, de tipos gestión de privilegios inadecuada y exposición de información confidencial a un usuario no autorizado, que afectan a varios dispositivos. El fabricante, a su vez, ha notificado esta vulnerabilidad al [email protected]

Solución:

El fabricante recomienda que los clientes configuren un firewall perimetral para bloquear el tráfico de redes y usuarios que no sean de confianza para el dispositivo. Estas recomendaciones se incorporarán a la documentación del dispositivo (instrucciones de funcionamiento). Además, se debe cambiar la contraseña predeterminada para la cuenta de operador, servicio y administrador.

Detalle:

  • El dispositivo afectado tiene una interfaz web de usuario con un sistema de acceso, basado en tokens dinámicos, que tiene asignados roles con diferentes privilegios de escritura y lectura. La vulnerabilidad consiste en que las sesiones de usuario no se cierran correctamente, y a un usuario con menos privilegios se le asignan los privilegios más elevados cuando inicia sesión. Se ha asignado el identificador CVE-2020-12495 para esta vulnerabilidad de severidad crítica.
  • La versión de firmware tiene un token dinámico para cada solicitud enviada al servidor, lo que hace que las solicitudes repetidas y el análisis sean lo suficientemente complejos. Sin embargo, se detectó un problema con la matriz de control de acceso en el lado del servidor, que posibilitaría a un usuario con pocos privilegios la obtención de información de los endpoints a los que no debería tener acceso en condiciones normales. Se ha asignado el identificador CVE-2020-12496 para esta vulnerabilidad de severidad media.

Etiquetas: Infraestructuras críticas, Sanidad, Vulnerabilidad