Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Crestron-en TSW-X60 eta MC3-n

Argitalpen data: 2018/08/10

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • TSW-X60, 2.001.0037.001 bertsioaren aurreko guztiak
  • MC3, 1.502.0047.001 bertsioaren aurreko guztiak

Azalpena:

Jackson Thuraisamyk, Security Compassekin lankidetzan, ahultasun hauetako batzuen berri eman dio Crestroni. Bestalde, Ricky 'HeadlessZeke' Lawshae-k, Trend Microko Zero Day Initiativerekin lankidetzan, ahultasun gehiagoren berri eman dio  NCCIC/ICS-CERTi. Ahultasun horiek arrakastaz baliatuz gero urrunetik kodea exekuta liteke sisteman pribilegioen eskalatzea lortuz.

Konponbidea:

Crestonek erabiltzaileei aholkatzen die beren gailuak firmwarearen azken bertsiora eguneratzea. Hemen dago eskuragarri:

Azkenik, Crestonek erabiltzaileei onlineko laguntza kontsultatzea ere aholkatzen die, ahultasun honi eta beste batzuei buruzko informazioa eskuratzearren (#5471 artikulua). Gailuak gotortzeko informazioa #5571 artikuluan dago eskuragarri.

Xehetasuna:

  • Sistema Eragilean komandoen injekzio erako ahultasun bat baliatuz, autentifikatu gabe kodea urrunetik exekuta liteke Crestron Toolbox Protocol-en (CTP) Bash Shell zerbitzu baten bidez. Ahultasun honek TSW-X60 gailuei soilik eragiten die. Ahultasun horretarako CVE-2018-11228 identifikatzailea erabili da.
  • Sistema Eragilean komandoen injekzio erako ahultasun bat baliatuz, autentifikatu gabe kodea urrunetik exekuta liteke Crestron Toolbox Protocol-en (CTP) komandoak injektatuz. Ahultasun honek TSW-X60 gailuei soilik eragiten die. Ahultasun horretarako CVE-2018-11229 identifikatzailea erabili da.
  • Fabrikatzaileak gailuak bidaltzen ditu autentifikazioa desgaiturik dutela, eta ez dago inolako ohartarazpenik erabiltzaileek segurtasun neurriak ezar ditzaten eta aukera hori gaitu dezaten. Eragindako gailua arriskuan dagoenean, CTP kontsolarako sarbidea irekita gelditzen da. Ahultasun horretarako CVE-2018-10630 identifikatzailea erabili da.
  • Administrazio kontuen pasahitzak zein diren asma daiteke pribilegio normalak dituzten erabiltzaileek eskura dezaketen informazioa baliatuz. Erasotzaileek pasahitz horiek deszifra litzakete eta ondoren ezkutuko API deiak exekutatu, eta pribilegio altuekin CTP kontsolak duen sandboxetik ihes egingo lukete. Ahultasun horretarako CVE-2018-13341 identifikatzailea erabili da.
Etiketak: Ahultasuna