Inicio / Alerta Temprana / Avisos Sci / Validación incorrecta de los datos de entrada en PACSystems RX3i de GE/Emerson

Validación incorrecta de los datos de entrada en PACSystems RX3i de GE/Emerson

Fecha de publicación: 
15/01/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • CPE100, todas las versiones anteriores a R9.85;
  • CPE115, todas las versiones anteriores a R9.85;
  • CPE302, todas las versiones anteriores a R9.90;
  • CPE305, todas las versiones anteriores a R9.90;
  • CPE310, todas las versiones anteriores a R9.90;
  • CRU320, producto descatalogado, sustituir por CPE330;
  • CPE330, todas las versiones anteriores a R9.90;
  • CPE400, todas las versiones anteriores a R9.90;
  • CPL410, todas las versiones anteriores a R9.90;
Descripción: 

El investigador Yeop Chang ha reportado una vulnerabilidad de criticidad alta que afecta a dispositivos de GE/Emerson. Un atacante remoto podría generar una condición de denegación de servicio (DoS) en el dispositivo.

Solución: 

Emerson recomienda actualizar a las siguientes versiones:

  • Versión R9.85:
    • CPE100;
    • CPE115;
  • Versión R9.90:
    • CPE302;
    • CPE305;
    • CPE310;
    • CPE330;
    • CPE400;
    • CPE410;

En el caso de CPU/CRU320, Emerson indica que ha alcanzado el fin de su ciclo de vida y recomienda su sustitución por CPE330.

Detalle: 

El envío de paquetes especialmente diseñados podría provocar el cambio del módulo al estado de parada, dando lugar a una condición de denegación de servicio. Un atacante remoto podría generar una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-13524 para esta vulnerabilidad.

Encuesta valoración