Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/02/01

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• PremiSys, 4.1 baino lehenagoko bertsio guztiak

Azalpena:

Jimi Sebree ikertzaileak, Tenablerekin lankidetzan, era ezberdinetako hainbat ahultasunen berri eman du: kredentzialen administrazio desegokia, enkriptatze ahula eta pasahitz desegokia. Horiek baliatuz, erasotzaile batek informazio konfidentziala ikus lezake edo gailuetara eta sistemara sarbidea lortu administratzaile modura.

Konponbidea:

• IDenticard-ek ahultasunetako batzuk konpontzen dituen bere softwarearen 4.1 bertsioa argitaratu du. 2019ko otsailean beste eguneraketa bat argitaratuko dute gainerako ahultasunetarako. Gainera, IDenticard-ek aholkatzen du zerbitzuaren datu basearen erabiltzaile eta pasahitz lehenetsiak aldatzea.

Xehetasuna:

• Erasotzaile batek administratzailearen kredentzialak eskura litzake. Ahultasun horretarako CVE-2019-3906 kodea erabili da.
• Kredentzialak eta intereseko beste informazio bat enkriptatze ahul batekin gordetzen ditu sistemak, eta hori baliatuz erasotzaile batek informaziora sarbidea lor lezake. Ahultasun horretarako CVE-2019-3907 kodea erabili da.
• Sistemak segurtasun kopiak gordetzen ditu zifratutako zip fitxategi modura, pasahitz berdin batekin eta aldatu ezin daitekeena. Hori baliatuz erasotzaile batek informaziora sarbidea lor lezake pasahitza eskuratuz gero. Ahultasun horretarako CVE-2019-3908 kodea erabili da.