Múltiples vulnerabilidades en productos de Trane
Fecha de publicación:
24/09/2021
Importancia:
5 -
Crítica
Recursos afectados:
- Symbio 700 (incluidos sistemas Odyssey Split), versiones anteriores a 1.00.0023;
- Symbio 800 (incluidos IntelliPak Rooftop Air Conditioner y los modelos de enfriadores: CenTraVac Simplex, CentraVac Duplex, ACR, RTAF, CMAF, HDWA.RTWF, CGWF, CXWF, CCUF y GVAF), versiones anteriores a 1.30.0008 (IntelliPak Rooftop Air Conditioner) y 1.10.0010 (resto);
- Tracer SC, versiones anteriores a 4.4 SP7;
- Tracer SC+, versiones anteriores a 5.3 SP3;
- Tracer Concierge, versiones anteriores a 5.3 SP3.
Descripción:
Trane ha reportado al CISA vulnerabilidades de severidad critica y alta, por las que un un usuario autenticado, podría ejecutar código arbitrario en el controlador.
Solución:
Actualizar:
- controladores Symbio 700 a la versión 1.00.0023 u otra posterior,
- controladores Symbio 800 a la versión 1.30.0008 (IntelliPak Rooftop Air Conditioner), 1.10.0010 (resto) u otra posterior,
- Tracer SC a la versión 4.4 SP7 u otra posterior,
- Tracer SC+ a la versión 5.5 SP3 u otra posterior,
- Tracer Concierge a la versión 5.5 u otra posterior.
Contactar con un comercial de Trane para instalar el firmware actualizado.
Se recomienda a los usuarios de Tracer SC migrar a Tracer SC+, ya que se aproxima el fin de su ciclo de vida.
Detalle:
Los controladores afectados no comprueban adecuadamente la entrada que contiene la sintaxis del código, lo que podría permitir a un atacante alterar el flujo de control previsto del software. Se han asignado los identificadores CVE-2021-38450 y CVE-2021-38448 para estas vulnerabilidades de severidad crítica y alta.