Argitalpen data: 2020/09/30
Garrantzia:
Altua
Kaltetutako baliabideak:
- SiteManager, 9.2.620236042 bertsioaren aurreko guztiak;
- GateManager 4260 eta 9250, 9.0.20262 bertsioaren aurreko guztiak;
- GateManager 8250, 9.2.620236042 bertsioaren aurreko guztiak.
Azalpena:
Nikolay Sokolik eta Hay Mizrachi
ikertzaileek 6 ahultasunen berri eman dute; 2 larritasun handikoak dira, eta
beste 4 tarteko larritasunekoak. Motak: direktorio mugatu baterako sarbidea (path
transversal), kontrolik gabeko baliabide-kontsumoa, informazioa erakusgai
jartzea, eta baimen desegokia.
Konponbidea:
B&R Industrial Automation etxeak
jakinarazi du ahultasunak honako bertsioetan konpondu direla:
- SiteManager: 9.2.620236042;
- GateManager 4260 y 9250: 9.0.20262;
- GateManager 8250: 9.2.620236042.
Xehetasunak:
- Baimena lortzen duen erasotzaile batek zerbitzuaren konfigurazioa eta bestelako informazio konfidentzialen bat irakur lezake, eta SiteManager sistemako instantzietan jarduera maltzurretarako erabili. Ahultasun horretarako, CVE-2020-11641 identifikatzailea esleitu da.
- Erasotzaile batek SiteManager instantzien etengabeko berrabiarazte bat eragin lezake, eta horrek eskuragarritasuna mugatuko luke. Ahultasun horretarako, CVE-2020-11642 identifikatzailea esleitu da.
- Erasotzaile batek atzerriko erakunde baten jabetzakoak diren gailuei buruzko informazioa bildu lezake, eta informazio hori jarduera maltzurretarako erabili. Ahultasun horretarako, CVE-2020-11643 identifikatzailea esleitu da.
- Baimena lortzen duen erasotzaile batek
atzerritar domeinuen erabiltzaileak engainatu litzake ikuskaritza faltsuen
inguruko alerta edo mezuekin. Ahultasun horretarako, CVE-2020-11644
identifikatzailea esleitu da.
- Baimena lortzen duen erasotzaile batek GateManager instantziak berrabiaraz litzake behin eta berriro, eta horrek eskuragarritasuna mugatuko luke. Ahultasun horretarako, CVE-2020-11645 identifikatzailea esleitu da.
- Baimena lortzen duen erasotzaile batek domeinuaren barruko gailu guztien informazioa lortu lezake, eta informazio hori jarduera maltzurretarako erabili. Ahultasun horretarako, CVE-2020-11646 identifikatzailea esleitu da.
Etiketak: Eguneratzea, Komunikazioak, Azpiegitura kritikoak, Ahultasuna.