Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en VxWorks de Wind River

Múltiples vulnerabilidades en VxWorks de Wind River

Fecha de publicación: 
30/07/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • VxWorks:
    • desde la versión 6.5 hasta la versión 6.9.4 ambas incluidas;
    • versión 7 preSR620, SR540 y SR610;
    • versiones de VxWorks que utilizan la pila de red independiente de Interpeak;
    • probablemente todas las versiones discontinuadas.
Descripción: 

Se han identificado 11 vulnerabilidades que afectan al RTOS VxWorks de tipo desbordamiento de búfer y corrupción de memoria. Un atacante podría ejecutar código de manera arbitraria, causar una denegación de servicio o una fuga de información. Algunos de los dispositivos que utilizan VxWorks son: dispositivos SCADA, controladores industriales, dispositivos médicos de monitorización, máquinas de resonancia magnética, firewalls, teléfonos VoIP e impresoras.

Solución: 

Wind River ha publicado la versión 7 SR620 de VxWorks que soluciona estas vulnerabilidades. Para más información acceder a la página oficial de soporte.

Detalle: 

Las vulnerabilidades de severidad crítica podrían provocar:

  • Un desbordamiento de búfer mediante el envío de paquetes IP/DHCP especialmente diseñados enviados al dispositivo de destino el cual no requiere la ejecución de ninguna aplicación o configuración específica por parte de este. La explotación exitosa podría permitir la ejecución de código arbitrario. Se ha reservado el identificador CVE-2019-12256 para esta vulnerabilidad.
  • Una corrupción de memoria mediante el uso erróneo del campo de puntero TCP. Un atacante podría usar este campo para conectarse por el puerto TCP y ejecutar código de manera arbitraria. Se han reservado los identificadores CVE-2019-12255 y CVE-2019-12260 para esta vulnerabilidad.

Para el resto de las vulnerabilidades se han reservado los siguientes identificadores: CVE-2019-12257, CVE-2019-12258, CVE-2019-12261, CVE-2019-12262, CVE-2019-12263, CVE-2019-12264, CVE-2019-12259 y CVE-2019-12265.

Encuesta valoración