Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/12/17

Garrantzia: Altua

Kaltetutako baliabideak:

• PB610 Panel Builder 600, 2.8.0.424 eta lehenagoko bertsioak.

Azalpena:

NSFOCUSeko ikertzaileek hainbat ahultasunen berri eman dute. Horiek baliatuz urruneko erasotzaile batek gailua geldiarazi lezake edo eskuraezin utzi, sistemaren nodoaren kontrola hartu edo kode arbitrarioa injektatu.

Konponbidea:

• 2.8.0.460 bertsiora eguneratzea;
• Aplikazioaren PB610 direktorioan dauden DLL fitxategiak ezabatzea.

Xehetasuna:

• Fitxategiaren luzera egiaztatzen ez denez, HMIStudio osagaia blokeatu egiten da aplikazioaren *.JPR fitxategi huts bat kargatzen saiatzean. Hori baliatuz erasotzaile batek gailuan zerbitzuaren ukapen egoera eragin lezake. Ahultasun horretarako CVE-2019-18994 identifikatzailea erabili da.
• HMISimulator panelak huts egiten du HTTP eskarien luzera baliozkotzean. Hori baliatuz erasotzaile batek zerbitzuaren ukapen egoera eragin lezake bereziki manipulatutako HTTP paketeak bidaliz. Ahultasun horretarako CVE-2019-18995 identifikatzailea erabili da.
• HMIStudio-k programaren direktoriotik kanpo dauden DLL fitxategiak onartzen ditu. Hori baliatuz, sarbide lokala lukeen erasotzaile batek kodea exekuta lezake asmo gaiztoko DLL fitxategien bidez. Ahultasun horretarako CVE-2019-18996 identifikatzailea erabili da.
• HMISimulator osagaiak irakurketa/idazketa interfazea erabiltzen du fitxategiak manipulatzeko. Hori baliatuz erasotzaile batek laneko direktoriotik kanpoko fitxategietara sarbidea lor lezake baimenik gabe. Ahultasun horretarako CVE-2019-18997 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna