Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Axis Communications-en kameretan

Argitalpen data: 20/06/2018

Garrantzia: Ertaina

Kaltetutako baliabideak:

VDOOko segurtasun ikerketako ekipoek ahultasunak aurkitu dituzte Axisen 390 modelo ezberdinetan, eta fabrikatzaileak baieztatu egin ditu.
Kaltetutako produktuen zerrenda osoa ondoko loturan aurki daiteke: https://www.axis.com/files/sales/ACV-128401_Affected_Product_List.pdf

Azalpena:

VDOOko ikerlariek hainbat ahultasun aurkitu dituzte, Axis Communications konpainiaren IP kamera modelo ezberdinei eragiten dietenak. Sarera sarbidea lukeen erasotzaile batek ahultasun horiek balia litzake eta autentifikazioa saihestea lor lezake, bai eta komandoak mugarik gabe bidaltzea, kode arbitrarioa exekutatzea edo kaltetutako produktuetan zerbitzua ukatzea ere.

Konponbidea:

Axisek firmwarearen bertsio berriak argitaratu ditu kaltetutako produktuetarako. Bertsio horiek ahultasunak konpontzen dituzte eta erabiltzaileei aholkatzen die ahalik eta azkarren eguneratzea.

Produktu bakoitzari dagokion firmware bertsioa ondoko loturan ikus daiteke: https://www.axis.com/files/sales/ACV-128401_Affected_Product_List.pdf

Xehetasuna:

Aurkitutako ahultasunak honakoak dira:

  • Autentifikazioari ihes egitea: Erasotzaile batek autentifikaziorik gabeko eskaera bat bidal lezake, /bin/ssid-ren .srv funtzionaltasunera iritsiz, eta autentifikazio mekanismoa saihets lezake. Ahultasun horretarako CVE-2018-10661 identifikatzailea erreserbatu da.
  • Mugarik gabeko sarbidea: .srv funtzionaltasunak hainbat ekintza hautatzea ahalbidetzen du. Erasotzaile batek baimendutako ekintza horietakoren bat erabil lezake, eta inolako mugarik gabe exekutatu. Ahultasun horretarako CVE-2018-10662 identifikatzailea erreserbatu da.
  • Kode arbitrarioa exekutatzea: Perhand parametroak gailuen barne parametroak aldatzea ahalbidetzen du. Erasotzaile batek parametroen aldaketa eskaerak alda litzake ekintza ezberdinak exekutatzeko. Ahultasun horretarako CVE-2018-10660 identifikatzailea erreserbatu da.
  • Zerbitzua ukatzea: Erasotzaile batek bereziki gaizki sortua izan den url bat erabil lezake httpd prozesuaren exekuzioa gelditzeko eta zerbitzuaren ukazioa eragiteko. Ahultasun horretarako CVE-2018-10664 identifikatzailea erreserbatu da.
  • Informazioa zabaltzea: Autentifikaziorik gabeko erasotzaile batek nabigatzaileak itzulitako parametroak alda litzake eskatutakoa baino informazio tamaina handiagoa eskuratzeko eta informazio babestua lortzeko. Ahultasun horretarako CVE-2018-10663 identifikatzailea erreserbatu da.
  • Zerbitzua ukatzea: Autentifikaziorik gabeko erasotzaile batek bereziki manipulatutako mbus pakete bat bidal lezake ssid zerbitzua gelditzeko. Ahultasun horretarako CVE-2018-10658 identifikatzailea erreserbatu da.
  • Zerbitzua ukatzea: Autentifikaziorik gabeko erasotzaile batek bereziki manipulatutako komando bat bidal lezake, definitu gabeko ARM agindu bati dei egingo diona, ssid zerbitzua gelditzeko. Ahultasun horretarako CVE-2018-10659 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna