Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Automation Runtime de B&R Automation

Múltiples vulnerabilidades en Automation Runtime de B&R Automation

Fecha de publicación: 
04/06/2021
Importancia: 
4 - Alta
Recursos afectados: 

Automation Runtime (AR), versión 4.8 y anteriores.

Descripción: 

B&R Automation ha publicado 73 vulnerabilidades, de severidades baja, media y alta, que afectan al servicio NTP.

Solución: 

Actualizar AR a la versión 4.9 o superiores. En caso de no poder actualizar, aplicar las medidas descritas en la sección Workarounds and Mitigations del aviso de B&R.

Detalle: 

Automation Runtime (AR) cuenta con un servicio NTP basado en ntpd, una implementación de referencia del Network Time Protocol (NTP). Las versiones de AR afectadas incluyen una versión obsoleta de ntpd que está afectada por un gran número de vulnerabilidades:

  • denegación de servicio,
  • vulneración de la protección criptográfica,
  • ejecución de código arbitrario,
  • desbordamiento de búfer,
  • error de autenticación,
  • sobreescritura en archivos arbitrarios,
  • omisión de autenticación,
  • man-in-the-middle,
  • suplantación,
  • IP spoofing,
  • referencia fuera de límites,
  • escritura fuera de límites,
  • escalada de privilegios,
  • desreferencia a puntero nulo.

El listado completo de identificadores CVE puede consultarse en el Appendix A del aviso de B&R.

Encuesta valoración