Argitaratze-data: 2019/01/23
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- Facility Explorer, 14.X bertsioak,
14.4u1-en aurrekoak.
- Facility Explorer, 6.X bertsioak,
6.6-en aurrekoak.
Deskribapena:
Tridium-ek Johnson Controls-en
Facility Explorer automatizazio produktuei eragiten zieten hainbat ahultasun
atzeman zituen. Erasotzaile batek sistemarako sarbidea
izan lezake, pasahitzen kudeaketa desegoki bat baliatuz, eta fitxategietara
sartu, horiek irakurri, aldatu, ezabatu edota administrari baimenak lortzeko
aukerarekin.
Konponbidea:
Johnson Controls-ek ahultasun
horiek konpondu ditu, produktuaren osteko bertsioetan. Erabiltzaileek beren bertsioak eguneratu behar dituzte, seguruago batera.
(FX14.6) bertsioa gomendatzen da.
- Facility Explorer 14.6 (2018ko
irailean abiatu zen).
- Facility Explorer 14.4u1 (2018ko abuztuan
abiatu zen).
- Facility Explorer 6.6 (2018ko
abuztuan abiatu zen).
Xehetasuna:
- Facility Explorer sistemarako eta
administrari-baimenetarako sarbidea duen erasotzaile batek direktorioaren
eraso motako ahultasun bat gauzatu lezake (?path traversal?), baimenik
gabeko fitxategietara edota direktorio mugatuetara sartzeko. Ahultasun horretarako, CVE-2017-16744
identifikatzailea esleitu da.
- Desgaitutako erabiltzaileen kontuen
akats baten ondorioz, pasahitzaren eremua zuriz egonda, erasotzaile bat
sistemara sar liteke, administrari baimenekin. Ahultasun horretarako, CVE-2017-16748 identifikatzailea esleitu da.
Etiketak: Eguneraketa,
Ahultasuna