Inicio / Alerta Temprana / Avisos Sci / Exposición de información en Sierra Wireless ACEmanager

Exposición de información en Sierra Wireless ACEmanager

Fecha de publicación: 
15/04/2016
Importancia: 
3 - Media
Recursos afectados: 

La siguientes versiones de Sierra Wireless están afectadas:

  • LS300 corriendo ALEOS 4.4.2 y versiones anteriores.
  • GX400 corriendo ALEOS 4.4.2 y versiones anteriores.
  • GX440 corriendo ALEOS 4.4.2 y versiones anteriores.
  • ES440 corriendo ALEOS 4.4.2 y versiones anteriores.
  • GX450 corriendo ALEOS 4.4.2 y versiones anteriores.
  • ES450 corriendo ALEOS 4.4.2 y versiones anteriores.
Descripción: 

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad en la exposición de información sensible dentro de la aplicación Sierra Wireless ACEmanager.

Solución: 

Sierra Wireless ha producido una nueva versión para mitigar la vulnerabilidad.

Detalle: 

El archivo filteredlogs.txt está disponible sin autorización. La información no sensible se escribe en el archivo de registro accesible, aunque debido a la naturaleza de diagnóstico de este tipo de archivos que un atacante puede ser capaz de aprender las características de funcionamiento del dispositivo, por ejemplo, la secuencia de operaciones durante el arranque. El archivo de registro accesible sólo persiste hasta la siguiente operación de visualización del registro o hasta que el dispositivo se reinicia. El identificador CVE-2016-6479 ha sido reservado para esta vulnerabilidad, que puede ser explotada de forma remota.

Etiquetas: