Elevación de privilegios en mGuard de Phoenix Contact

Fecha de publicación:

20/09/2017

Importancia:

5 - Crítica

Recursos afectados:

Las versiones afectadas del administrador de dispositivos mGuard son las siguientes:

mGuard Device Manager 1.8.0 y anteriores versiones.

Descripción:

Se ha identificado una vulnerabilidad de control de acceso inadecuado para Oracle Java SE, que afecta al administrador de dispositivos mGuard, perteneciente al fabricante PHOENIX CONTACT. La explotación de esta vulnerabilidad, podría permitir el acceso remoto no autorizado, la modificación de datos, y permitir a los usuarios remotos y locales obtener una elevación de privilegios.

Solución:

PHOENIX CONTACT recomienda a los usuarios del producto afectado en Windows actualizarse al menos a la Versión 1.8.0.1. La actualización está disponible en la sección "Software" de la pestaña Descargas en la siguiente ubicación:

http://www.phoenixcontact.com/online/portal/us?uri=pxc-oc-itemdetail:pid=2981974

Para obtener más información, consulte el documento "How to upgrade mGuard device manager" descargado con el instalador.

PHOENIX CONTACT recomienda a los usuarios del producto afectado en Linux actualizar Java a la última versión. Usando la fuente de paquetes PHOENIX CONTACT en Ubuntu, mediante el actualizador de software del sistema operativo.

Detalle:

PHOENIX CONTACT ha reportado una vulnerabilidad de control de acceso inadecuado para Oracle Java SE, que se proporciona con PHOENIX CONTACT FL MGUARD DM.

Según Oracle, las versiones Java afectadas por esta vulnerabilidad son Java SE: 8u131, 7u141 y 6u151, Java SE Embedded: 8u131 y JRockit: R28.3.14. PHOENIX CONTACT proporciona FL MGUARD DM 1.8.0 para Windows con Java SE 8u131.

La explotación de esta vulnerabilidad, podría permitir el acceso remoto no autorizado, la modificación de datos, y permitir a los usuarios remotos y locales obtener una elevación de privilegios.

Para esta vulnerabilidad se han asignado los siguientes CVEs: CVE-2017-10102, CVE-2017-10116, CVE-2017-10078, CVE-2017-10115, CVE-2017-10118, CVE-2017-10176, CVE-2017-10198, CVE-2017-10135, CVE-2017-10053, CVE-2017-10108.

Referencias:

ICSA-17-262-01

VDE-2017-002

Oracle Critical Patch Update Advisory report

PHOENIX CONTACT Software Download

Etiquetas:

Java

Vulnerabilidad

Accesos corporativos

Elevación de privilegios en mGuard de Phoenix Contact

Inyección de comandos en Altenergy Power System Control Software de APsystems

Credenciales por defecto en ABB RCCMD

Protección de credenciales insuficiente en KVMS Pro de CP Plus

Múltiples vulnerabilidades en productos de estaciones de automatización de edificios de SAUTER

Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump