Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos EKI de Advantech

Múltiples vulnerabilidades en productos EKI de Advantech

Fecha de publicación: 
11/12/2015
Importancia: 
5 - Crítica
Recursos afectados: 

Los productos afectados son los siguientes:

  • Plataforma de dispositivos EKI-132x
Descripción: 

Tod Beardsley de Rapid7 ha identificado varias vulnerabilidades que afectan a los productos EKI de Advantech.

Solución: 

Advantech tiene planeado la publicación de una actualización para mitigar las vulnerabilidades antes del 31 de Diciembre.

Detalle: 

Las vulnerabilidades detectadas pueden ser aprovechadas de forma remota y además existen exploit públicos.

  • Inyección de comandos de sistema operativo: Las versiones de GNU Bash desde la versión 1.14 a la 4.3 contienen un error que procesa comandos colocados después de la definición de funciones en la variable de entorno añadida, lo que permite a atacantes remotos ejecutar código arbitrario. Esta vulnerabilidad también se conoce como "ShellShock".
  • Se ha reservado el identificador CVE-2014-6271 para esta vulnerabilidad.
  • Restricción de operaciones inadecuada en el búfer de memoria: Los productos EKI utilizan OpenSSL Versión 1.0.1, que se sabe que tiene vulnerabilidades conocidas.
  • Se ha reservado el identificador CVE-2014-0160 para esta vulnerabilidad.
  • Restricción de operaciones inadecuada en el búfer de memoria: Existe un desbordamiento de búfer basado en pila en el método get_packet en socket.c en dhcpcd versión 3.2.3. Permite a atacantes remotos provocar una denegación de servicio y posiblemente ejecutar código arbitrario a través de un paquete más largo del tamaño admitido.
  • Se ha reservado el identificador CVE-2012-2152 para esta vulnerabilidad.