Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Omron-en CX-One softwarean

Argitalpen data: 2018/04/11

Garrantzia: Ertaina

Kaltetutako baliabideak:

  • CX-One, 4.42 bertsioa eta lehenagokoak, ondoko aplikazioak barne:
    • CX-FLnet, 1.00 bertsioa eta lehenagokoak
    • CX-Protocol, 1.992 bertsioa eta lehenagokoak
    • CX-Programmer, 9.65 bertsioa eta lehenagokoak
    • CX-Server, 5.0.22 bertsioa eta lehenagokoak
    • Network Configurator, 3.63 bertsioa eta lehenagokoak
    • Switch Box Utility, 1.68 bertsioa eta lehenagokoak

Azalpena:

Trend Microko Zero Day Initiativeko Rgod ikertzaileak Omron-en CX-One softwareari eragiten dioten hainbat ahultasun aurkitu ditu, bi ahultasun bufferraren gainezkatze erakoak eta beste bat mota bateraezineko baliabideetarako sarbide erakoa. Erasotzaile batek kodea urrunetik exekutatzea lor lezake.

Konponbidea:

Omronek kaltetutako produktuen bertsio berriak argitaratu ditu, honakoak hain zuzen:

  • X-FLnet, 1.10 bertsioa
  • CX-Protocol, 1.993 bertsioa
  • CX-Programmer, 9.66 bertsioa
  • Common Module, CX-Server barne duena, 5.0.23 bertsioa
  • Network Configurator, 3.64 bertsioa
  • Switch Box Utility, 1.69 bertsioa

Xehetasuna:

  • Pilak gainezka egitea: Gaizki sortutako proiektu fitxategien tratamenduak bufferraren gainezkatzea eragin dezake eta horrek stack-a eta heap-a kaltetu ditzake. Ahultasun horretarako CVE-2018-8834 eta CVE-2018-7514 kodeak erabili dira.
  • Mota bateraezineko baliabideetarako sarbidea: Gaizki sortutako proiektu fitxategien tratamendua baliatuz, erakusleak objektu okerra dei lezake, eta ondorioz baliabide baterako sarbidea gerta liteke bateragarria ez den baldintza mota bat erabiliz. CVE-2018-7530 kodea esleitu zaio ahultasun horri.
Etiketak: Ahultasuna