Argitalpen data: 2020/03/11
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- Kantech EntraPass Corporate Edition, 8.10 eta lehenagoko bertsioak;
- Kantech EntraPass Global Edition, 8.10 eta lehenagoko bertsioak;
- Metasys Application and Data Server, 10.1 eta lehenagoko bertsioak;
- Metasys Extended Application and Data Server, 10.1 eta lehenagoko bertsioak;
- Metasys Open Data Server, 10.1 eta lehenagoko bertsioak;
- Metasys Open Application Server, 10.1 eta lehenagoko bertsioak;
- Metasys Network Automation Engine, 9.0.1, 9.0.2, 9.0.3, 9.0.5 eta 9.0.6 bertsioak;
- Metasys Network Integration Engine, 9.0.1, 9.0.2, 9.0.3, 9.0.5 eta 9.0.6 bertsioak;
- Metasys NAE85 eta NIE85, 10.1 bertsioa eta lehenagokoak;
- Metasys LonWorks Control Server, 10.1 eta lehenagoko bertsioak;
- Metasys System Configuration Tool, 13.2 bertsioa eta lehenagokoak;
- Metasys Smoke Control Network Automation Engine, 8.1 bertsioa.
Azalpena:
Johnson Controls-en hainbat produkturi eragiten dieten ahultasunen berri eman da. Horiek baliatuz erasotzaile batek asmo gaiztoko kodea exekuta lezake sistemaren pribilegioekin, zerbitzuaren ukapen eraso bat egin edo informazio sentikorrera sarbidea lortu.
Konponbidea:
EntraPass-en 8.10 bertsiora eguneratzea.
Xehetasuna:
- APIak duen arazo bat baliatuz, urruneko erasotzaile batek asmo gaiztoko kodea igo eta exekuta lezake sistemaren pribilegioekin. Ahultasun horretarako CVE-2019-7589 identifikatzailea erabili da.
- XXE erako ahultasun bat baliatuz, erasotzaile batek ASCII fitxategiak eskura litzake zerbitzaritik. Ahultasun horretarako CVE-2020-9044 identifikatzailea erabili da.
Etiketak: Eguneraketa, Ahultasuna