Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Ekintza ez seguruen ohartarazpen gabezia Becton, Dickinson and Company-ren (BD) BD Kiestra eta InoquIA sistemetan

Argitalpen data: 2018/05/23

Garrantzia: Ertaina

Kaltetutako baliabideak:

Ahultasunek kaltetutako aplikazioak ondoko sistemek erabiltzen dituzte:

  • BD Kiestra TLA
  • BD Kiestra WCA
  • BD InoqulA-ren lagin prozesatzailea

Ahultasunek kaltetutako aplikazioak honakoak dira:

  • Database (DB) Manager, 3.0.1.0 bertsioa
  • ReadA Overview, 1.1.0.2 eta lehenagoko bertsioak
  • PerformA, 3.0.0.0 eta lehenagoko bertsioak

Azalpena:

BDk bi ahultasun aurkitu ditu, ekintza ez seguruen ohartarazpenak ez egitearen erakoak. BD Kiestra eta InoquIA sistemei eragiten diete. Erasotzaile batek datuak galtzea edo ezabatzea eragin lezake.

Konponbidea:

BDk 2018ko ekaina baino lehen izan nahi ditu prest beharrezkoak diren konponbideak.Konponbide horien bidez DB Manager, PerformA eta ReadA-n SQL funtzioak aktibatzeko funtzionaltasuna ezabatu ahal izango da. Hori egin bitartean, eta ahultasun horiekin lotutako arriskua gutxitzearren, BDk ondorengo kontrolak gomendatzen ditu:

  • DB Manager:
    • BD Kiestra Laboratoryko langileek ez dituzte erabili behar funtzionaltasunari lotutako SQL funtzioak BD Kiestra hiru sistemetan: BD Kiestra TLA, BD Kiestra WCA eta BD InoqulA lagin prozesatzailearena. Oraingo programak esportatu-inportatu funtzioaren bidez ez erabiltzea gomendatzen da, baizik eta programa berri bat konfiguratzea edo programaren txantiloi lehenetsiak erabiltzea.
    • Komeni da ziurtatzea langile baimendu eta kualifikatuek soilik izango dituztela DB Manager-en funtzio guztietarako sarbide kontrolerako eskubideak. DB Manager-en 'Erabiltzaileak' funtzioaren bidez konfigura daiteke hori.
  • ReadA Overview: erabiltzaileei gomendatzen zaie, aplikazioa erabiltzen ez bada edo erabiltzea ohikoa ez bada, ReadA Overview-ra sartzeko 'Users' funtzioa 'none' moduan konfiguratzea erabiltzaile guztientzat. DB Manager-en 'Users' funtzioaren bidez konfigura daiteke hori. ReadA Overview erabiltzea beharrezkoa bada, erabiltzaileei gomendatzen zaie langile baimendu eta kualifikatuek soilik izatea sarbide kontrolerako eskubideak ReadA Overview-ren funtzio guztietara. DB Manager-en 'Users' funtzioaren bidez konfigura daiteke hori.
  • PerformA: BD Kiestra sistemetara baimenik gabeko sarbidea modu eraginkorrean saihestea lortuko duten segurtasun praktika onenak ezartzen diren bitartean, erabiltzaileei gomendatzen zaie BD Kiestrako zerbitzarietara sarbidea bermatzea horiek monitorizatu ahal izateko.

Xehetasuna:

DB Manager, PerformA eta ReadAri eragiten dien ahultasun bat baliatuz, sarbide altuekin baimendutako erabiltzaile batek BD Kiestra sisteman SQL komandoak erabili ahal izango lituzke, edo ondorioz datuen hondatzea eragin lezake. Ahultasun horietarako CVE-2018-10593 eta CVE-2018-10595 identifikatzaileak erreserbatu dira.

Etiketak: Ahultasuna