Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Fuji Electric-en V-Server eta V-Server Lite-n

Argitalpen data: 2018/09/12

Garrantzia: Handia

Kaltetutako baliabideak:

  • V-Server VPR, 4.0.3.0 bertsioa eta lehenagokoak
  • V-Server Lite, 4.0.3.0 bertsioa eta lehenagokoak

Azalpena:

Source Inciteko Steven Seeley ikertzaileak eta Ariele Caltabiano ikertzaileak, Trend Microko Zero Day Initiativerekin lankidetzan, ahultasun hauen berri eman dute. Horiek baliatuz erasotzaile batek urrunetik kodea exekuta lezake, gailuan zerbitzuaren ukapen egoera sortu edo informazio sentikorra eskuratu.

Konponbidea:

Fuji Electric-ek ahultasun horiek konpontzen dituen firmwarearen 4.0.4.0 bertsioa argitaratu du. Lotura honetan dago eskuragarri:

http://monitouch.fujielectric.com/site/support-e/download-index-01.html

Xehetasuna:

  • Erasotzaile batek kodea urrunetik exekutatzea lor lezake bereziki diseinatutako fitxategi bat erabiliz, eta ondorioz bufferraren gainezkatzea eragingo luke. Ahultasun horretarako CVE-2018-10637 identifikatzailea erreserbatu da.
  • Erasotzaile batek urrunetik kodea exekutatzea lor lezake fidagarria ez den erakuslearen deserreferentzia bidez. Ahultasun horretarako CVE-2018-14811 identifikatzailea erreserbatu da.
  • Heap-ean oinarritutako bufferraren gainezkatzearen bidez erasotzaile batek kode ez fidagarria exekutatzea lor lezake. Ahultasun horretarako CVE-2018-14813 identifikatzailea erreserbatu da.
  • Mugez kanpoko idazketa erako hainbat ahultasun baliatuz, erasotzaile batek urrunetik kodea exekutatzea lor lezake. Ahultasun horretarako CVE-2018-14815 identifikatzailea erreserbatu da.
  • Erasotzaile batek kodea urrunetik exekutatzea lor lezake osokoen gainezkatze erako ahultasun bat baliatuz. Ahultasun horretarako CVE-2018-14817 identifikatzailea erreserbatu da.
  • Mugez kanpoko irakurketa erako ahultasun bat baliatuz, erasotzaile batek kodea urrunetik exekutatzea lor lezake. Ahultasun horretarako CVE-2018-14819 identifikatzailea erreserbatu da.
  • Pilan oinarritutako bufferraren gainezkatzea baliatuz erasotzaile batek urrunetik kodea exekuta lezake. Ahultasun horretarako CVE-2018-14823 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna