Argitalpen data: 2020/09/16
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
Ahultasun horiek kaltetutako
fabrikatzaileak honakoak dira:
- URayTech;
- J-Tech Digital;
- VeCASTER PRO de Pro Video Instruments.
Beste marka batzuk oraindik ez dira
konfirmatu.
Azalpena:
Hainbat ahultasun argitaratu dira (4
kritiko, handi bat eta ertain bat) HiSilicon Hi3520d hardwarean oinarritutako
IP gaineko bideo-kodegailu batzuetan, IPTV/H.264/H.265 bideo-kodegailu izenez
ere ezagunak. Ahultasun horiek
baliatuta, baimenik gabeko urrutiko erasotzaile batek kode arbitrarioa exekuta
lezake eta baimenik gabeko beste ekintza batzuk burutu, sistema ahul batean.
Konponbidea:
Fabrikatzailearen azken eguneratzeak
aplikatzea. Informazio zehatzagoa izateko, kontsultatu erreferentzien atala.
Xehetasunak:
PTV/H.264/H.265 bideo-kodegailuen
softwarean dauden ahultasunak honakoak dira:
- Administrazio-sarbide osoa atzeko ateko pasahitz baten bidez. Ahultasun horretarako, CVE-2020-24215 identifikatzailea erreserbatu da.
- Root administrazio sarbidea atzeko ateko pasahitz baten bidez. Ahultasun horretarako, CVE-2020-24218 identifikatzailea erreserbatu da.
- Zeharkako path bidez irakurritako artxibo arbitrarioa. Ahultasun horretarako, CVE-2020-24219 identifikatzailea erreserbatu da.
- Baimenik gabeko artxiboak igotzea. Ahultasun horretarako, CVE-2020-24217 identifikatzailea erreserbatu da.
- Kodearen exekuzio arbitrarioa, firmware maltzurraren bidez. Ahultasun horretarako, CVE-2020-24217 identifikatzailea erreserbatu da.
- Kode arbitrarioaren exekuzioa komando-injekzioaren bidez. Ahultasun horretarako, CVE-2020-24217 identifikatzailea erreserbatu da.
- Zerbitzu-ukapena bufferrak gainezka egitearen ondorioz. Ahultasun horretarako, CVE-2020-24214 identifikatzailea erreserbatu da.
- Bideo-emanaldira baimenik gabeko sarbidea RTSP bidez. Ahultasun horretarako, CVE-2020-24216 identifikatzailea erreserbatu da.
Etiketak: Eguneratzea, Komunikazioak, IoT, Ahultasuna.