Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/03/27

Garrantzia: Altua

Kaltetutako baliabideak:

• PORTICO SERVER 1 CLIENT, 3.0.7 eta lehenagoko bertsioak;
• PORTICO SERVER 4 CLIENT, 3.0.7 eta lehenagoko bertsioak;
• PORTICO SERVER 16 CLIENT, 3.0.7 eta lehenagoko bertsioak;
• PC WORX SRT 2701680, 1.14 eta lehenagoko bertsioak.

Azalpena:

ClarotyCarl-eko Sharon Brizinov-ek eta beste ikertzaile anonimo batek kritikotasun altuko bi ahultasunen berri eman dute, Phoenix Contact-en ekipamenduari eragiten diotenak. Ahultasun horiek arrakastaz baliatuz gero, erasotzaile lokal batek asmo gaiztoko kodea exekuta lezake sistemaren baimenekin edo administratzaile baimenak eskura litzake gailuan.

Konponbidea:

• PORTICO gailuak V3.0.8 edo goragoko bertsio batera eguneratzea.
• PC WORX SRT gailuen kasuan, Phoenix Contact-ek gomendatzen du softwarea erabiltzaile bakarreko sistemetan erabiltzea.

Xehetasuna:

• Softwarea zerbitzu bezala exekutatzen bada, sarbide murriztua duen erabiltzaile batek administratzaile pribilegioak eskura ditzake kontsola bat exekutatuz administratzaile baimenekin, konfigurazioko 'Inportatu/Esportatu' aukeratik. Ahultasun horretarako CVE-2020-10940 identifikatzailea erreserbatu da.
• PC WORX SRT aplikazioa zerbitzu modura instalatuta badago, aplikazioa baimen ez-seguruekin konfiguratuta dago. Hori baliatuz pribilegiorik gabeko erabiltzaile batek fitxategien ausazko idazketa egin lezake zerbitzuko fitxategi eta bitar guztiak kokatzen diren instalazio direktorioan. Ahultasun horretarako CVE-2020-10939 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna