Argitalpen data: 2020/10/01
Garrantzia:
Altua
Kaltetutako baliabideak:
- Bosch PRAESENSA, 1.10 bertsioa eta aurrekoak;
- Bosch PRAESENSA, 4.41 bertsioa eta aurrekoak.
Azalpena:
Bosch etxeak PRAESIDEO Network Controller
eta PRAESENSA System Controller produktuetan antzemandako 3 ahultasunen berri
eman du; 2 larritasun kritikokoak dira, eta beste bat tartekoa. Horien bidez,
erasotzaile batek ekintza arbitrarioak burutu litzake edo Cross-Site-Scripting
(XSS) biltegiratuaren motako erasoak burutu.
Konponbidea:
- PRAESIDEO 4.42 eta PRAESENSA 1.20 bertsioetara eguneratzea.
- LBB4401/00 eta PRS-NCO-B Network Controllers kontrolatzaileak ezin dira PRAESIDEO 4.42 bertsiora eguneratu, beraz, sarea sare publikotik isolatzea gomendatzen da. Hori posible ez balitz, firewall erabiltzea gomendatuko litzateke.
Xehetasunak:
- Bosch PRAESIDEO eta Bosch PRAESENSA produktuen webgunean oinarritutako interfazeko ahultasuna baliatuta, baimenik gabeko urrutiko erasotzaile batek ekintza arbitrarioak burutu litzake sistema batean, beste erabiltzaile baten izenean (Cross-Site Request Forgery). Horrek esan nahi du biktima engainatua izango dela lotura maltzur batean klik egiteko, edo formulario maltzur bat bidaltzeko. Larritasun handiko ahultasun horretarako CVE-2020-6776 identifikatzailea esleitu da.
- Bosch PRAESIDEO produktuetan erabilitako GoAhead web zerbitzariak ez du behar den moduan babesten HTTP Digest baimen-saiakeretan. Larritasun handiko ahultasun horretarako CVE-2020-15688 identifikatzailea esleitu da.
- Bosch PRAESIDEO eta Bosch PRAESENSA produktuen webgunean oinarritutako kudeaketa interfazeko ahultasun baten bidez, urrutiko erasotzaile batek, baimenarekin, administrari pribilegioekin, Cross-Site-Scripting (XSS) eraso bat burutu lezake, beste erabiltzaile baten aurka. Biktima kudeaketa interfazera konektatzean, biltegiratutako kodea nabigatzailearen testuinguruan exekutatzen da. Tarteko larritasuna duen ahultasun horretarako CVE-2020-6777 identifikatzailea esleitu da.
Etiketak: Eguneratzea, Komunikazioak, Azpiegitura kritikoak, Ahultasuna.