Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Nuuoren produktu batzuetan

Argitaratze-data: 2018/10/15

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • NVRmini2 eta NVRsolo 3.8.0 bertsioa eta aurrekoak
  • CMS 3.1 bertsioa eta aurrekoak.

Azalpena:

Pedro Ribeiro, Ariele Caltabiano (kimiya) 9SG Security Team-eko ikertzaileek eta Trend Microko Mat Powell ikertzaileak mota hauetako hainbat ahultasun antzeman dituzte: Buferrak gainezka egitea, sobera dagoen garbiketa kodea, aleatoriotasun nahikorik gabeko balioen erabilera, funtzio zaharkituen erabilera, baimenak oker ematea eta kredentzial barneratuak. Erasotzaile batek kodearen urrutiko exekuzioa egitea lortu lezake eta erabiltzailearen kontuak aldatu.

Konponbidea:

  • NVRmini2 eta NVRsolo-rako, 3.9.1 firmware bertsiora eguneratu.
  • CMS-rako, 3.3 firmware bertsiora eguneratu.

Xehetasuna:

  • Bufferraren gainezkatzea baliatuz, egiaztatu gabeko erasotzaile batek kodea urrutitik exekutatu lezake. Ahultasun horretarako, CVE-2018-1149 identifikatzailea erreserbatu da.
  • Urrutiko erasotzaile batek sisteman dauden fitxategiak baliatu litzake sartzea lortu eta erabiltzaileen datu sentikorrak aldatzeko. Ahultasun horretarako, CVE-2018-1150 identifikatzailea erreserbatu da.
  • Erasotzaile batek aktibo dagoen saioaren ID lortu lezake, saioen identifikazio-mekanismoak sortua, eta kodea urrutitik exekutatu. Ahultasun horretarako, CVE-2018-17888 identifikatzailea erreserbatu da.
  • Aplikazioak erabilitako funtzio zaharkitu eta ez seguruen bidez, urrutiko kodea exekutatu lezake. Ahultasun horretarako, CVE-2018-17890 identifikatzailea erreserbatu da.
  • Erabiltzaileen kontuen kontrol metodoak ez ditu modu egokian hasten erabiltzaileen kontuen segurtasun ezaugarriak. Horren ondorioz, erasotzaile batek kodearen urrutiko exekuzioa burutu lezake. Ahultasun horretarako, CVE-2018-17892 identifikatzailea erreserbatu da.
  • Aplikazioak berez sortutako kontuek kredentzial barneratuak dituzte, beraz, erasotzaile batek sarbide pribilegiatua lortu lezake. Ahultasun horretarako, CVE-2018-17894 identifikatzailea erreserbatu da.

Etiketak: Eguneratzea, Ahultasuna