Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Schneider Electric-en U.motion Builder-en

Argitalpen data: 2018/04/09

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • U.motion Builder Software, 1.3.4 bertsioa eta lehenagokoak

Azalpena:

Zero-Day Initiativeko Rgod eta Constantin-Cosmin Craciun ikertzaileek Schneider Electricen U.motion Builder softwareari eragiten dioten hainbat ahultasun aurkitu dituzte. Erasotzaile batek kodea urrunetik exekuta lezake eta datuak baimenik gabe zabal litzake.

Konponbidea:

Schneider Electricek ahultasun horiek konpontzen dituen partxe bat argitaratu du. Partxea hemen eskura daiteke:

https://www.schneider-electric.com/en/download/document/SE_UMOTION_BUILDER/

Era berean, Schneider Electricek ondoko segurtasunezko prebentzio neurriak eta praktika onak jarraitzea aholkatzen du:

  • U.motion Builder exekutatzen duen makinaren aurrean suebaki bat izatea, sarbiderako kontrol arau zorrotzekin.
  • Makina hori ez da zuzenean konektatu behar Internetera.
  • Makina hori ez da DMZ batean kokatu behar.
  • Ez da ahalbidetu behar trafikorik zuzenean Internetetik makinarantz.
  • Makina horren barruan U.motion Systemen aurkako urruneko sarbidea beti egin behar da VPN konexio seguru baten bidez.
  • U.motion Builder softwarerako konexioak mugatzea, benetako beharra duten konfiantzako makinek soilik egin dezaten.
  • Makinaren beraren barnean U.builder Software aplikazioa nork exekuta dezakeen finkatzeko zerrenda zuriak erabiltzea.
  • Windowsen suebakiak berak jatorriz eskaintzen dituen sarbiderako kontrolak erabiltzea.

Xehetasuna:

Ondoren zehazten dira larritasun altu edo kritikoak diren ahultasunak:

  • Kodea urrutitik exekutatzea ahalbidetzen duen SQL injekzioa: "object_id" sarbide parametroak SQL injekzioa jasan dezake track_getdata.php fitxategiaren barnean. Ahultasun hori baliatuz erasotzaile batek kode arbitrarioa exekuta lezake. Larritasun altuko ahultasun horretarako CVE-2018-7765 identifikatzailea erabili da.
  • Kodearen urruneko exekuzioa: update_module.php fitxategiko "update_file" parametroak ez dauka erabilera egokia. Autentifikatutako urruneko erasotzaile batek ahultasun hori balia lezake, zerbitzarira bereziki prestatutako eskaerak bidaliz. Larritasun altuko ahultasun horretarako CVE-2018-7777 identifikatzailea erabili da.
  • Samba Cry: Bezero gaiztoek smbd zerbitzariko karpeta partekatura liburutegi bat igo lezakete idazketa baimenekin, eta zerbitzariak exekutatzea eragin lezakete. Larritasun kritikoko ahultasun horretarako CVE-2017-7494 identifikatzailea erabili da.

Larritasun ertaineko gainerako ahultasunetarako erreserbatu diren kodeak honakoak dira: CVE-2018-7763, CVE-2018-7764, CVE-2018-7766, CVE-2018-7767, CVE-2018-7768, CVE-2018-7769, CVE-2018-7770, CVE-2018-7771, CVE-2018-7772, CVE-2018-7773, CVE-2018-7774, CVE-2018-7775, CVE-2018-7776 .

Etiketak: Eguneraketa, PHP, Schneider Electric, Ahultasuna