Argitaratze-data: 2018/10/24
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- WebAccess, 8.3.1 bertsioa eta aurrekoak.
Azalpena:
Trend Microren Zero Day Initiative ekimeneko Mat Powell ikertzaileak mota
hauetako hainbat ahultasun antzeman ditu: bufferrak gainezka egitea, ibilbideen
edo fitxategien izenen kanpoko kontrola, pribilegioen kudeaketa desegokia eta direktorio-jauzia,
Advantech-en WebAccessari eragiten diona. Urrutiko
erasotzaile batek kodearen exekuzioa lortu lezake, fitxategietara sartu
administrarien pribilegiodun ekintzak burutzeko edo sistematik fitxategiak
ezabatzeko.
Konponbidea:
Advantech-ek WebAccessen 8.3.3
bertsioa argitaratu du, ahultasun horiek zuzentzeko.
Xehetasuna:
- Bufferrak gainezka egitea. Urrutiko erasotzaile batek bufferraren gainezkatze horietakoaren bat baliatu lezake kode arbitrarioa exekutatzeko. Ahultasun horretarako, CVE-2018-14816 identifikatzailea esleitu da.
- Ibilbideen edo fitxategien izenen kanpoko kontrola. Erasotzaile batek ibilbideen edo fitxategien izenen kanpoko kontrola baliatu lezake dll osagai batean, prozesatzeko unean fitxategiak
arbitrarioki ezabatzeko. Ahultasun
horretarako, CVE-2018-14820 identifikatzailea esleitu da.
- Pribilegioen kudeaketa desegokia. Urruneko erasotzaile batek ahultasun hori baliatu lezake administrari pribilegioak hartu eta sistemaren gaineko ekintzak burutzeko. Ahultasun horretarako, CVE-2018-14828 identifikatzailea esleitu da.
- Direktorio-jauzia. Erasotzaile batek kode arbitrarioa exekutatu lezake, ahultasun hori baliatuz. Ahultasun horretarako, CVE-2018-14806 identifikatzailea esleitu da.
Etiketak: Eguneratzea,
Ahultasuna