Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Fecha de publicación:

06/10/2017

Importancia:

4 - Alta

Recursos afectados:

CIMPLICITY versión 9.0 y anteriores.

Descripción:

El investigador David Atch ha identificado esta vulnerabilidad que permitiría a un atacante la ejecución arbitraria de código o provocar la caída del sistema.

Solución:

La compañía ha publicado la versión 9.5 la cual soluciona la vulnerabilidad que afecta al dispositivo. Además, se ha publicado un documento con la información necesaria para llevar a cabo la actualización. (Son necesarias credenciales de acceso)

Detalle:

Desbordamiento de búfer basado en pila: Existe una función que lee un paquete que indica la longitud del siguiente paquete. Este dato de longitud no está verificado, permitiendo la sobreescritura del búfer y la ejecución arbitraria de código. Se ha asignado el identificador CVE-2017-12732 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-17-278-01) GE CIMPLICITY

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Consumo descontrolado de recursos en OPC UA Legacy Java Stack

Ejecución remota de código en producto Circutor

Denegación de servicio en MELSEC iQ-F series de Mitsubishi Electric

Múltiples vulnerabilidades en InHand Networks InRouter302

Múltiples vulnerabilidades en Cambium Networks cnMaestro