Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Wibu Systems enpresaren CodeMeter sisteman

Argitalpen data: 2020/09/18

Garrantzia: Kritikoa

Kaltetutako baliabideak:

CodeMeter Runtime tresnaren, lizentzia administratzailea, honako bertsioak kaltetu dira:

  • 7.10a bertsioaren aurreko guztiak daude kaltetuta, CVE-2020-14509, CVE-2020-14517 eta CVE-2020-14519 bidez;
  • 7.10 bertsioaren aurreko guztiak daude kaltetuta, CVE-2020-16233 bidez;
  • 6.81 bertsioaren aurreko guztiak daude kaltetuta, CVE-2020-14513 bidez;
  • 6.90 bertsioaren aurreko guztiak daude kaltetuta CVE-2020-14515 bidez, CmActLicense Firm Code duten CmActLicense eguneratze-artxiboak erabiltzen direnean.

Azalpena:

Claroty enpresako Sharon Brizinov eta Tal Keren ikertzaileek 6 ahultasunen berri eman dute; 2 larritasun kritikokoak eta 4 handikoak. Motak: bufferrera luzera-balioa ezegokiarekin sartzea, zifratze-indar desegokia, jatorri-balioztatze akatsa, sarrera-datuen balioztatze ez zuzena, sinadura kriptografikoaren egiaztatze desegokia eta baliabide desegokien liberazioa.

Konponbidea:

Wibu Systems-ek honako neurriak hartzea gomendatu da:

  • CodeMeter Runtime azken bertsiora eguneratzea,
  • CodeMeter Runtime soilik bezero gisa exekutatzea,
  • API REST berria erabiltzea WebSockets sistemaren barneko APIaren ordez,
  • WebSockets sistemaren APIa desgaitzea,
  • AxProtector aplikatzea.

Ahultasun horien mende dauden fabrikatzaileek argitaratutako abisuen informazio zehatzagoa izateko, CISA abisuaren 5. MITIGATIONS atala kontsultatu..

Xehetasunak:

  • Memoria ustelaren motako hainbat ahultasun daude. Horien bidez, paketeen analizatzaile mekanismoak ez ditu luzera-eremuak egiaztatzen. Erasotzaile batek paketeak bidal litzake, bereziki diseinatuak, ahultasun horiek baliatzeko. Ahultasun horretarako, CVE-2020-14509 identifikatzailea esleitu da.
  • Protokoloaren zifratzea erraz urratu daiteke, eta zerbitzariak kanpo konexioak onartzen ditu. Hori horrela izanik, erasotzaile bat urrunetik jar daiteke harremanetan CodeMeter-en APIarekin. Ahultasun horretarako, CVE-2020-14517 identifikatzailea esleitu da.
  • Ahultasun horren bidez, erasotzaile batek WebSockets-en barne APIa baliatu lezake, bereziki diseinatutako Java Script-en payload baten bidez, eta lizentzia-artxiboak sortu litezke, CVE-2020-14515 ahultasunarekin konbinatuta. Ahultasun horretarako CVE-2020-14519 identifikatzailea esleitu da.
  • CodeMeter eta hori erabiltzen duen softwareak lizentzia-artxibo bat oker prozesatu lezakete, bereziki diseinatua, luzera-eremu ez egiaztatuak direla eta. Ahultasun horretarako, CVE-2020-14513 identifikatzailea esleitu da.
  • Arazo bat dago lizentzia-artxiboaren sinaduraren egiaztatze-mekanismoan. Horren bidez, erasotzaileek lizentzia-artxibo arbitrarioak sor litzakete. Ahultasun horretarako, CVE-2020-14515 identifikatzailea esleitu da.
  • Erasotzaile batek bereziki diseinatutako pakete bat bidal lezake, eta horren ondorioz zerbitzariak montikuluaren datuak dituzten paketeak itzuliko lituzke (heap). Ahultasun horretarako, CVE-2020-16233 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Azpiegitura kritikoak, Siemens, Ahultasuna.