Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/09/18

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

WebAccess, 8.4.1 eta lehenagoko bertsioak.

Azalpena: 

Elextec Security Tech. Co. Ltd.-eko Peter Cheng-ek eta Trend Micro's Zero Day Initiative-ko Mat Powell-ek, VenusTech-eko ADLab-ekin batera, hainbat eratako ahultasunak aurkitu dituzte: kodearen injekzioa, komandoen injekzioa, eta bufferraren pilaren gainezkatzea eta baimentze desegokia. Horiek baliatuz erasotzaile batek kode arbitrarioa exekuta lezake, fitxategietara sarbidea lortu, eta ekintzak exekutatu pribilegio maila altu batekin, edo sisteman fitxategiak ezabatu.

Konponbidea: 

Azaldutako ahultasunak konpontzeko Advantech-ek WebAccessNode-ren 8.4.2 bertsioa argitaratu du.

Xehetasuna: 

• Sarean exploit bat exekutatzeak kodea sortzean kontrol oker bat eragin lezake. Horren ondorioz urrunetik kodea exekuta liteke, datuak exfiltratu edo sistemaren blokeatzea eragin. Ahultasun horretarako CVE-2019-13558 identifikatzailea erreserbatu da.
• Komandoen injekzio erako hainbat ahultasun gertatzen dira erabiltzaileak emandako datuak baliozkotzen ez direlako. Horrek fitxategien ezabatze arbitrarioa eragin lezake eta kodea urrunetik exekutatzea. Ahultasun horretarako CVE-2019-13552 identifikatzailea erreserbatu da.
• Pilan oinarritutako bufferraren gainezkatze erako hainbat ahultasun daude, erabiltzaileak emandako datuen luzeraren baliozkotze egoki baten faltak eraginda. Hori baliatuz erasotzaile batek urruneko kodea exekuta lezake. Ahultasun horretarako CVE-2019-13556 identifikatzailea erreserbatu da.
• Baimentze desegoki erako ahultasun bat baliatuz erasotzaile batek informazio sentikorra ezagutzera eman lezake eta kodea sortzearen kontrol desegokia eragin. Ondorioz urruneko kodea exekuta liteke edo sistemaren blokeatzea eragin. Ahultasun horretarako CVE-2019-13550 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna