Argitalpen data: 2019/02/01
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- PremiSys, 4.1 baino lehenagoko
bertsio guztiak
Azalpena:
Jimi Sebree ikertzaileak,
Tenablerekin lankidetzan, era ezberdinetako hainbat ahultasunen berri eman du:
kredentzialen administrazio desegokia, enkriptatze ahula eta pasahitz
desegokia. Horiek baliatuz, erasotzaile batek informazio konfidentziala ikus
lezake edo gailuetara eta sistemara sarbidea lortu administratzaile modura.
Konponbidea:
- IDenticard-ek ahultasunetako batzuk
konpontzen dituen bere softwarearen 4.1 bertsioa argitaratu du. 2019ko
otsailean beste eguneraketa bat argitaratuko dute gainerako
ahultasunetarako. Gainera, IDenticard-ek aholkatzen du
zerbitzuaren datu basearen erabiltzaile eta pasahitz lehenetsiak aldatzea.
Xehetasuna:
- Erasotzaile batek
administratzailearen kredentzialak eskura litzake. Ahultasun horretarako CVE-2019-3906 kodea erabili da.
- Kredentzialak eta intereseko beste
informazio bat enkriptatze ahul batekin gordetzen ditu sistemak, eta hori
baliatuz erasotzaile batek informaziora sarbidea lor lezake. Ahultasun horretarako CVE-2019-3907 kodea
erabili da.
- Sistemak segurtasun kopiak gordetzen
ditu zifratutako zip fitxategi modura, pasahitz berdin batekin eta aldatu
ezin daitekeena. Hori baliatuz erasotzaile batek
informaziora sarbidea lor lezake pasahitza eskuratuz gero. Ahultasun horretarako CVE-2019-3908 kodea
erabili da.
Etiketak: Eguneraketa,
Ahultasuna