Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/09/16

Garrantzia: Kritikoa

Kaltetutako baliabideak:

Ahultasun horiek kaltetutako fabrikatzaileak honakoak dira:

• URayTech;
• J-Tech Digital;
• VeCASTER PRO de Pro Video Instruments.

Beste marka batzuk oraindik ez dira konfirmatu.

Azalpena:

Hainbat ahultasun argitaratu dira (4 kritiko, handi bat eta ertain bat) HiSilicon Hi3520d hardwarean oinarritutako IP gaineko bideo-kodegailu batzuetan, IPTV/H.264/H.265 bideo-kodegailu izenez ere ezagunak.  Ahultasun horiek baliatuta, baimenik gabeko urrutiko erasotzaile batek kode arbitrarioa exekuta lezake eta baimenik gabeko beste ekintza batzuk burutu, sistema ahul batean.

Konponbidea:

Fabrikatzailearen azken eguneratzeak aplikatzea. Informazio zehatzagoa izateko, kontsultatu erreferentzien atala.

Xehetasunak:

PTV/H.264/H.265 bideo-kodegailuen softwarean dauden ahultasunak honakoak dira:

• Administrazio-sarbide osoa atzeko ateko pasahitz baten bidez.  Ahultasun horretarako, CVE-2020-24215 identifikatzailea erreserbatu da.
• Root administrazio sarbidea atzeko ateko pasahitz baten bidez.  Ahultasun horretarako, CVE-2020-24218 identifikatzailea erreserbatu da.
• Zeharkako path bidez irakurritako artxibo arbitrarioa. Ahultasun horretarako, CVE-2020-24219 identifikatzailea erreserbatu da.
• Baimenik gabeko artxiboak igotzea. Ahultasun horretarako, CVE-2020-24217 identifikatzailea erreserbatu da.
• Kodearen exekuzio arbitrarioa, firmware maltzurraren bidez. Ahultasun horretarako, CVE-2020-24217 identifikatzailea erreserbatu da.
• Kode arbitrarioaren exekuzioa komando-injekzioaren bidez. Ahultasun horretarako, CVE-2020-24217 identifikatzailea erreserbatu da.
• Zerbitzu-ukapena bufferrak gainezka egitearen ondorioz. Ahultasun horretarako, CVE-2020-24214 identifikatzailea erreserbatu da.
• Bideo-emanaldira baimenik gabeko sarbidea RTSP bidez. Ahultasun horretarako, CVE-2020-24216 identifikatzailea erreserbatu da.

Etiketak: Eguneratzea, Komunikazioak, IoT, Ahultasuna.