Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/09/07

Garrantzia: Handia

Kaltetutako baliabideak:

• Thermal Management Center, 4.13 baino lehenagoko bertsio guztiak.

Azalpena:

Maxim Rupp ikertzaile independenteak Thermal Management Center gailuari eragiten dioten bi ahultasunen berri eman du. Erabiltzaileen autentifikazio desegokiarekin eta kredentzialak gordetzerakoan daukan babes faltarekin zerikusia dute. Urruneko erasotzaile batek ahultasun horiek balia litzake gailuan gordetako informazio sentikorra eskuratzeko.

Konponbidea:

Fabrikatzaileak ahultasun guztiak konpontzen dituen eguneraketa bat garatu du (v4.13 edo goragokoa) eta bere bezeroei aholkatzen die ekipoak ahalik eta azkarren eguneratzeko.

Xehetasuna:

• Autentifikazio desegokia: Thermal Management Center gailuaren web aplikazioak ez ditu erabiltzaileak modu egokian kudeatzen autentifikazioaren fasean. Urruneko erasotzaile batek ahultasun hori balia lezake sistemara sartzeko eta informazio sentikorra eskuratzeko. Ahultasun horretarako CVE-2017-14026 identifikatzailea erreserbatu da.
• Babes falta kredentzialen biltegiratzean: gailuaren pasahitzak testu lauan gordeta daude autentifikaziorik gabe eskura daitekeen fitxategi batean. Urruneko erasotzaile batek ahultasun hori balia lezake informazio sentikorra eskuratzeko eta ondoren eraso landuagoak egiteko. Ahultasun horretarako CVE-2017-16714 identifikatzailea erreserbatu da.