Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Nortek enpresaren Linear eMerge 50P/5000P sisteman hainbat ahultasun atzeman dira

Argitalpen data: 2020/07/03

Garrantzia: Kritikoa

Kaltetutako baliabideak:

Linear eMerge 50P/5000P, 4.6.07 bertsioa (79330 berrikusketa) eta aurrekoak.

Azalpena:

Applied Risk enpresako Gjokok 5 ahultasunen berri eman dio CISA erakundeari; 3 larritasun kritikokoak dira, bat handikoa eta bestea ertainekoa. Horien bidez, urrutiko erasotzaile batek sistemaren erabateko kontrola lortu lezake.

Konponbidea:

v32-09a bertsiora eguneratzea.

Xehetasuna:

  • Softwareak kanpo sarrerak erabiltzen ditu direktorio mugatu baten barruan egon beharko litzatekeen ibilbide bat eraikitzeko, baina ez ditu ondo neutralizatzen sekuentzia batzuk, "../", esaterako. Direktorio horretatik kanpoko kokapen batean konpondu litezke. Horren bidez, erasotzaile batek artxibo sistema zeharkatu lezake, mugatutako direktoriotik kanpo dauden artxibo edo direktorioetara heltzeko. Ahultasun horretarako, CVE-2019-7267 identifikatzailea esleitu da.
  • Sarrerako datuetan karaktere bereziak neutralizatuta, erasotzaile batek komando arbitrarioak exekutatu litzake sistema eragilean. Ahultasun horretarako, CVE-2019-7269 identifikatzailea esleitu da.
  • Firmwarearen eguneratzearen bidezko igoera-scriptaren bidez egitean artxiboen luzapena balioztatzen ez bada, gerta liteke baimenik gabeko urrutiko erasotzaile batek luzapen arbitrarioko artxiboak igotzea direktorio batera, aplikazioaren web erroaren barruan, eta web zerbitzariko pribilegioekin exekutatzea. Ahultasun horretarako, CVE-2019-7268 identifikatzailea esleitu da.
  • Kaltetutako aplikazioa dela eta, ekintza zehatz batzuk egin litezke HTTP eskaeren bidez, eta eskaera horiek egiaztatu ahal izateko ez da konprobatzerik egiten. Horrela izanik, administrari pribilegioekin ekintzak burutu daitezke, konektatutako erabiltzaile batek webgune maltzur bat bisitatuz gero. Ahultasun horretarako, CVE-2019-7270 identifikatzailea esleitu da.
  • Sarrera-datuak nahikoa ez egiaztatzearen ondorioz, urrutiko erasotzaile batek HTTP eskaera bat bidal dezake, bereziki diseinatua, egiaztatze-konprobatzea alde batera utzi eta aplikazioan baimenik gabe sartu ahal izateko. Ahultasun horretarako, CVE-2019-7266 identifikatzailea esleitu da.

Etiketak: Eguneraketa, Azpiegitura Kritikoak, Ahultasuna