Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun coTURN-en

Argitalpen data: 2019/01/30

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • coTURN, 4.5.0.9 eta lehenagoko bertsioak.

Azalpena:

Hiru ahultasun aurkitu dira coTURN zerbitzarietan, bat larritasun kritikokoa, beste bat kritikotasun ertainekoa, eta beste bat oraingoz isilpekoa da. Beraz, ez da bere kritikotasun maila ezagutzen. Horiek baliatuz erasotzaile batek zerbitzariko administratzaile kontura sarbidea lor lezake.

Konponbidea:

  • 4.5.1.0 bertsiora eguneratu.

Xehetasuna:

  • Erasotzaile batek zerbitzariaren administrazio atarira sarbidea lor lezake SQL injekzio baten bidez, coTURNen sarbide webean bereziki diseinatutako erabiltzaile izen batekin. Larritasun kritikoko ahultasun horretarako CVE-2018-4056 identifikatzailea erabili da.
  • coTURN-en zerbitzariak duen lehenetsitako konfigurazio ez seguru bat baliatuz, erasotzaile batek kredentzialik gabeko telnet administrazio kontu bat erabil lezake zerbitzarira sartzeko administratzaile baimenekin. Larritasun ertaineko ahultasun horretarako CVE-2017-4059 identifikatzailea erabili da.
  • Oraindik argitaratua izan ez den ahultasunerako CVE-2018-4058 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna