Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun General Electric etxearen produktu batzuetan

Argitalpen data: 2020/09/23

Garrantzia: Altua

Kaltetutako baliabideak:

  • GE Digital APM Classic, 4.4 bertsioa eta aurrekoak;
  • GE Reason S20 Ethernet Switch, bertsioak: 
    • S2020, 07A06 bertsioaren aurreko firmware bertsio guztiak;
    • S2024, 07A06 bertsioaren aurreko firmware bertsio guztiak;

Azalpena:

Guido Marilli, Accenture Security erakundeko ikertzaileak, eta IOActive konpainiak 4 ahultasunen berri eman diote GE enpresari; 2 larritasun handikoak eta 2 ertainekoak. Motak: erabiltzaileak kontrolatutako gakoaren bidezko baimen-omisioa, salt gabeko norabide bakarreko hash erabiltzea eta XSS.

Konponbidea:

  • GE Digital APM Classic 4.5 bertsiora edo goragokoetara eguneratzea, GE Digitaleko ordezkari batekin kontaktatuz;
  • GE Reason S20 Ethernet Switch 07A06 edo osteko firmware bertsio batera eguneratzea.

Xehetasunak:

  • IDOR (Insecure Direct Object Reference) ahultasun baten bidez, erasotzaile batek erabiltzaile kontuekin erlazionatutako datu konfidentzialak deskargatu litzake, pribilegio egokirik izan gabe. Ahultasun horretarako, CVE-2020-16240 identifikatzailea esleitu da.
  • Salt (datuen hash, pasahitza edo pasahitz-esaldia erabiltzen duen norabide bakarreko funtzio baterako sarbide gehigarri moduan erabilitako datu aleatorioak) ez da erabiltzen pasahitzen hash delakoa kalkulatzeko, horrela deszifratzea lor daitekeelako, plataforma osoa arriskuan jarriz; izan ere, baimendutako erabiltzaile batek erabiltzailearen kontuaren datu guztiak berreskura litzake, eta gero pasahitz errealak lortu. Ahultasun horretarako, CVE-2020-16244 identifikatzailea esleitu da.
  • Kaltetutako produktua XSS (Cross-Site Scripting) ahultasunaren mende egon daiteke. Horrela, erasotzaile batek erabiltzaileak engaina litzake ekintza kritikoak burutzeko. Horien artean daude, esaterako, kontuak gehitu eta eguneratzea. Ahultasun horretarako, CVE-2020-16242 identifikatzailea esleitu da.
  • Kaltetutako produktua XSS ahultasunaren mende egon daiteke. Horrela izanik, erasotzaileek erabiltzaileak engainatu litzakete lotura bati jarraitzeko edo JavaScript kode maltzurra duen orri batera nabigatzeko. Horrela, biktimak kode hori prozesatu eta exekutatu egingo luke.  Ahultasun horretarako, CVE-2020-16246 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Azpiegitura kritikoak, Ahultasuna.