Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/09/28

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• AMS Device Manager, 12.0tik 13.5era bitarteko bertsioak

Azalpena:

Kaspersky Lab-eko Sergy Temnikov ikertzaileak, Emersonekin lankidetzan, pribilegioen kudeaketa eta sarbide kontrol okerreko hainbat ahultasunen berri eman du.

Konponbidea:

Emersonek erabiltzaileei aholkatzen die 12.0 bertsioa duten kaltetutako produktuak 13.5era eguneratzea. Erabiltzaileentzako partxeak hemen daude eskuragarri:

https://guardian.emersonprocess.com/

CVE-2018-14808 ahultasuna ezingo litzateke baliatu aplikazioen zerrenda zuri bat ezarriko balitz, fitxategiak gainidaztea saihestuko bailuke.

Ahultasun horren eta beste batzuen eragina murrizteko, Emerson-ek gomendatzen du AMS Device Manager ezartzea eta konfiguratzea, AMS Device Manager-en gidan azalduta dagoen moduan, Emerson Guardian-en zerbitzu atarian eskuragarri dagoena.

Xehetasuna:

• Urruneko erasotzaile batek bereziki diseinatutako script bat erabil lezake kaltetutako softwarean kode arbitrarioa exekutatzeko, sarbide kontrol desegoki baten ondorioz. Ahultasun horretarako CVE-2018-14804 identifikatzailea erabili da.
• Administratzaileak ez diren erabiltzaileek kaltetutako softwarearen fitxategi exekutagarriak eta liburutegiak alda ditzakete, pribilegioen kudeaketa desegoki bat baliatuz. Ahultasun horretarako CVE-2018-14808 identifikatzailea erabili da.