Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun LCDS -ren LAquis SCADA produktuan

Argitaratze-data: 2018/10/17

Garrantzia: Handia

Kaltetutako baliabideak:

  • LAquis SCADA Smart Security Manager, 4.1.0.3870 bertsioa eta aurrekoak.

Azalpena:

Zero Day Initiative (Trend Micro) ekimeneko Mat Powell, 9SG Security Team-eko rgod, Source Incite-ko Esteban Ruiz, @garage4hackers-eko b0nd eta Ashraf Alharbi ikertzaileek,  Zero Day Initiative ekimenarekin elkarlanean, hainbat ahultasunen berri eman dute, mota hauetakoak: bufferrak gainezka egitea, mugetatik kanpoko irakurketa eta idazketa, erakusle ez fidagarriaren erreferentzia eza eta direktorio mugatuen ibilbideen kontrol ez zuzena (Path traversal). Ahultasun horiek arrakastaz burututa, urrutiko erasotzaile batek kode arbitrarioa exekutatu lezake, xede-sisteman edukia idatzi edo sistema blokeatu.

Konponbidea:

LCDS enpresak erabiltzaileei proposatu die 4.1.0.4114 bertsiora eguneratzea.

Xehetasuna:

  • Erakusle ez fidagarriaren erreferentzia ezaren ondorioz, kodea urrunetik exekutatu ahal izatea eragin daiteke. Ahultasun horretarako, CVE-2018-17893 identifikatzailea esleitu da.
  • Mugetatik kanpoko irakurketaren ahultasun bat antzeman da. Horrela izanik, urrutiko erasotzaile batek kodea exekutatu lezake kaltetutako produktuetan. Ahultasun horretarako, CVE-2018-17895 identifikatzailea esleitu da.
  • Bufferrak gainezka egitearen ondorioz, erasotzaile batek kodea exekutatu lezake urrutitik. Ahultasun horretarako, CVE-2018-17897 identifikatzailea esleitu da.
  • Mugatutako direktorioetako ibilbideen kontrol ez zuzenaren ondorioz (path traversal), erasotzaile batek kodea urrutitik exekutatu lezake. Ahultasun horretarako, CVE-2018-17899 identifikatzailea esleitu da.
  • Proiektu-artxiboak prozesatzen direnean, aplikazioak huts egiten du erabiltzailearen sarrera datuak balioztatzean, multzoko objektu batean idazketa eragiketak burutu baino lehen. Horren ondorioz, erasotzaile batek kodea exekutatu lezake, exekutatzen ari den egungo prozesuan. Ahultasun horretarako, CVE-2018-17901 identifikatzailea esleitu da.
  • Bufferrak gainezka egiten duen hainbat ahultasun antzeman dira. Urrutiko erasotzaile batek kodea urrutitik exekutatu lezake. Ahultasun horretarako, CVE-2018-17911 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Ahultasuna