Argitalpen data: 2020/08/07
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
WebAccess HMI Designer, 2.1.9.31 bertsioa
eta aurrekoak.
Azalpena:
Kimiya eta Natnael Samson ikertzaileek, Trend
Micro-ren Zero Day Initiative egitasmoarekin elkarlanean, 6 ahultasunen berri
eman diote CISAri; bat larritasun kritikokoa da, 4 altukoak, eta beste bat
baxukoa. Motak: pilan oinarritutako buffer gainezkatzea, heap motako buffer
gainezkatzea, mugetatik kanpoko irakurketa, mugetatik kanpoko idazketa, mota ez
bateragarriko baliabiderako sarbidea eta free funtziorako dei bikoitza.
Konponbidea:
Advantech etxeak WebAccess HMI Designer 2.1.9.81 bertsioa argitaratu du, ahultasun
horiek konpontzeko.
Xehetasunak:
- Erabiltzaileak emandako datuen balioztatze egokirik gabeko bereziki diseinatutako proiektu-artxiboak prozesatuz gero, pilan oinarritutako (stack) buffer gainezkatzea gerta liteke; horren ondorioz, kodearen urrutiko exekuzioa gertatuko litzateke, informazioaren zabalkunde edo aldaketa, edota aplikazioaren blokeoa. Ahultasun horretarako, CVE-2020-16215 identifikatzailea esleitu da.
- Heap motako buffer gainezkatze ahultasunak ustiatu litezke bereziki diseinatutako proiektu-artxiboak irekiz, kodearen urrutiko exekuzioa burutzeko, informazioa zabaldu edota aldatu, edo aplikazioa blokeatzeko. Ahultasun horretarako, CVE-2020-16207 identifikatzailea esleitu da.
- Erabiltzaileak emandako datuen balioztatze egokirik gabeko bereziki diseinatutako proiektu-artxiboak prozesatuz gero, aurreikusitako buffer eremutik kanpo idatz lezake sistemak; horren ondorioz, kodearen urrutiko exekuzioa gertatuko litzateke, informazioaren zabalkunde edo aldaketa, edota aplikazioaren blokeoa. Ahultasun horretarako, CVE-2020-16213 identifikatzailea esleitu da.
- Erabiltzaileak emandako datuen balioztatze egokirik gabeko bereziki diseinatutako proiektu-artxiboak prozesatuz gero, moten nahasketa gerta liteke; horren ondorioz, kodearen urrutiko exekuzioa gertatuko litzateke, informazioaren zabalkunde edo aldaketa, edota aplikazioaren blokeoa. Ahultasun horretarako, CVE-2020-16229 identifikatzailea esleitu da.
- Bereziki diseinatutako proiektu-artxiboen prozesatzeak eragindako memoria askatzeko funtzioaren ahultasunaren ondorioz, kodearen urrutiko exekuzioa burutu liteke, informazioa zabaldu edota aldatu, edo aplikazioa blokeatu. Ahultasun horretarako, CVE-2020-16217 identifikatzailea esleitu da.
- Mugetatik kanpoko irakurketaren ahultasun bat baliatu liteke, bereziki diseinatutako proiektu-artxiboak prozesatzean, erasotzaile batek informazio hori irakurri ahal izateko. Ahultasun horretarako, CVE-2020-16211 identifikatzailea esleitu da.
Etiketak: Eguneratzea, Azpiegitura Kritikoak, Ahultasuna