Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Fecha de publicación:

06/10/2017

Importancia:

4 - Alta

Recursos afectados:

CIMPLICITY versión 9.0 y anteriores.

Descripción:

El investigador David Atch ha identificado esta vulnerabilidad que permitiría a un atacante la ejecución arbitraria de código o provocar la caída del sistema.

Solución:

La compañía ha publicado la versión 9.5 la cual soluciona la vulnerabilidad que afecta al dispositivo. Además, se ha publicado un documento con la información necesaria para llevar a cabo la actualización. (Son necesarias credenciales de acceso)

Detalle:

Desbordamiento de búfer basado en pila: Existe una función que lee un paquete que indica la longitud del siguiente paquete. Este dato de longitud no está verificado, permitiendo la sobreescritura del búfer y la ejecución arbitraria de código. Se ha asignado el identificador CVE-2017-12732 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-17-278-01) GE CIMPLICITY

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Asignación incorrecta de permisos en CompactRIO de National Instruments

Consumo de recursos descontrolado en Touch Panel de las series BTP

Vulnerabilidad en Fuji Electric V-Server Lite

Múltiples vulnerabilidades en FactoryTalk Linx de Rockwell Automation

Consumo de recursos no controlado en Mitsubishi Electric MELSEC iQ-R series