Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitaratze-data: 2018/10/26

Garrantzia: Handia

Kaltetutako baliabideak:

• WebAccess, 8.3.2 bertsioa eta aurrekoak.

Azalpena:

Trend Microren Zero Day Initiative ekimeneko Mat Powell ikertzaileak sarbide kontrol desegokiaren eta bufferrak gainezka egitearen motako hainbat ahultasun identifikatu ditu. Advantech-en WebAccess konponbideari eragiten diote eta, urrutiko erasotzaile batek kode arbitrarioa exekutatzea lortu lezake.

Konponbidea:

Advantech-ek WebAccessen 8.3.3 bertsioa argitaratu du, ahultasun horiek konpontzeko.

Xehetasuna:

·         Erasotzaile batek kode arbitrarioa exekutatu lezake, aplikazioa instalatzeko prozesuan zehar sarbide kontrola desgaituta dagoela aprobetxatuz. Ahultasun horretarako, CVE-2018-17908 identifikatzailea erreserbatu da.

·         Erabiltzaileak emandako sarbide-datuen luzera modu desegokian balioztatuz gero, erasotzaile batek bufferrak gainezka egitea eragin dezake eta, horrela, kode arbitrarioa exekutatu. Ahultasun horretarako, CVE-2018-17910 identifikatzailea erreserbatu da.