Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Opto 22ren SoftPAC Project-en

Argitalpen data: 2020/05/15

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

Opto 22 SoftPAC Project, 9.6 eta lehenagoko bertsioak.

Azalpena: 

Claroty-ko Mashav Sapir-ek 5 ahultasunen berri eman dio CISAri, 2 larritasun kritikokoak eta beste 3 ertainekoak. Honako era hauetakoak dira: fitxategi izenaren edo bidearen kanpo kontrola, sinadura kriptografikoaren egiaztapen okerra, sarbidearen kontrol okerra, kontrolatu gabeko bilaketa bidearen elementua, eta baimentze okerra.

Konponbidea: 

Ahultasun horiek konpontzeko Opto 22-k PAC Project-en 10.3 bertsioa argitaratu du, PAC Project Professional eta PAC Project Basic-erako eskuragarri dagoena.

Xehetasuna: 

  • SoftPAC-en firmware-a eguneratzeko erabiltzen diren zip fitxategien barnean zehazten diren bideak ez dira sanitizatzen. Ondorioz, erabiltzaile pribilegioak dituen erasotzaile batek sarbide arbitrarioa eskura lezake sistemarako sarbidea duten fitxategietan idazteko. Ahultasun horretarako CVE-2020-12042 identifikatzailea erabili da.
  • SoftPAC-en firmware-aren fitxategietako sinadurak ez dira egiaztatzen firmware horren eguneraketarekin. Hori baliatuz erasotzaile batek firmware fitxategi zilegizkoak ordezka litzake asmo gaiztoko fitxategiekin. Ahultasun horretarako CVE-2020-12046 identifikatzailea erabili da.
  • 22000 ataka murrizpenik gabe dago irekita. Hori baliatuz sarera sarbidea lukeen erasotzaile batek SoftPACAgent zerbitzua kontrola lezake, SoftPACAgent-en firmware-aren eguneraketa barne, zerbitzua abiarazi edo gelditu lezake, edo erregistroko balio jakin batzuetan idatzi. Ahultasun horretarako CVE-2020-10612 identifikatzailea erabili da.
  • Erasotzaile batek DLL fitxategiak ordezka litzake eta kodea exekutatu SoftPAC zerbitzua abiatzen den bakoitzean, fitxategi horietako hainbatetan inportazio bidea ez baita zehazten. Ahultasun horretarako CVE-2020-10616 identifikatzailea erabili da.
  • Sarera sarbidea lukeen erasotzaile bat zuzenean komunikatu liteke SoftPAC-ekin, PLC honek ez baitu inolako kredentzial motarik bere komunikazioetan. Ahultasun horretarako CVE-2020-10620 identifikatzailea erabili da.

Etiketak: Eguneraketa, Azpiegitura kritikoak, Ahultasuna