Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos de Trane

Múltiples vulnerabilidades en productos de Trane

Fecha de publicación: 
24/09/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Symbio 700 (incluidos sistemas Odyssey Split), versiones anteriores a 1.00.0023;
  • Symbio 800 (incluidos IntelliPak Rooftop Air Conditioner y los modelos de enfriadores: CenTraVac Simplex, CentraVac Duplex, ACR, RTAF, CMAF, HDWA.RTWF, CGWF, CXWF, CCUF y GVAF), versiones anteriores a 1.00.0007;
  • Tracer SC, versiones anteriores a 4.4 SP7;
  • Tracer SC+, versiones anteriores a 5.3 SP3;
  • Tracer Concierge, versiones anteriores a 5.3 SP3.
Descripción: 

Trane ha reportado al CISA vulnerabilidades de severidad critica y alta, por las que un un usuario autenticado, podría ejecutar código arbitrario en el controlador.

Solución: 

Actualizar:

  • controladores Symbio 700 a la versión 1.00.0023 u otra posterior,
  • controladores Symbio 800 a la versión 1.00.0007 u otra posterior,
  • Tracer SC a la versión 4.4 SP7 u otra posterior,
  • Tracer SC+ a la versión 5.5 SP3 u otra posterior,
  • Tracer Concierge a la versión 5.5 u otra posterior.

Contactar con un comercial de Trane para instalar el firmware actualizado.

Se recomienda a los usuarios de Tracer SC migrar a Tracer SC+, ya que se aproxima el fin de su ciclo de vida.

Detalle: 

Los controladores afectados no comprueban adecuadamente la entrada que contiene la sintaxis del código, lo que podría permitir a un atacante alterar el flujo de control previsto del software. Se han asignado los identificadores CVE-2021-38450 y CVE-2021-38448 para estas vulnerabilidades de severidad crítica y alta.

Encuesta valoración