Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/05/11

Garrantzia: Altua

Kaltetutako baliabideak: 

Intelligent Power Manager (IPM), 1.67 eta lehenagoko bertsioak.

Azalpena: 

Trend Micro ZDIko Sivathmican Sivakumaran-ek larritasun altuko bi ahultasunen berri eman dio Eaton-i, sarrera parametroen baliozkotze oker eta pribilegioen esleitze oker erakoak.

Konponbidea: 

Intelligent Power Manager (IPM) 1.68 bertsiora edo berriago batera eguneratzea.

Xehetasuna: 

• IPMk ez ditu modu egokian baliozkotzen inportatuak izan diren konfigurazio fitxategien izenak. Urruneko erasotzaile batek komandoak injekta litzake, edo kode arbitrarioa exekuta lezake sisteman, bereziki sortutako fitxategiak bidaliz. Ahultasun horretarako CVE-2020-6651 identifikatzailea erabili da.
• IPMk ahalbidetzen du konfigurazio fitxategiak bidaltzea administratzaile baimenak ez dituzten erabiltzaileei. Erasotzaile lokal batek sistemaren konfigurazioak manipula litzake parametro okerrak dituzten konfigurazio fitxategiak bidaliz. Ahultasun horretarako CVE-2020-6652 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna