Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Fecha de publicación:

06/10/2017

Importancia:

4 - Alta

Recursos afectados:

CIMPLICITY versión 9.0 y anteriores.

Descripción:

El investigador David Atch ha identificado esta vulnerabilidad que permitiría a un atacante la ejecución arbitraria de código o provocar la caída del sistema.

Solución:

La compañía ha publicado la versión 9.5 la cual soluciona la vulnerabilidad que afecta al dispositivo. Además, se ha publicado un documento con la información necesaria para llevar a cabo la actualización. (Son necesarias credenciales de acceso)

Detalle:

Desbordamiento de búfer basado en pila: Existe una función que lee un paquete que indica la longitud del siguiente paquete. Este dato de longitud no está verificado, permitiendo la sobreescritura del búfer y la ejecución arbitraria de código. Se ha asignado el identificador CVE-2017-12732 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-17-278-01) GE CIMPLICITY

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Múltiples vulnerabilidades en productos de Siemens

Recursividad no controlada en productos OPC UA de OPC Foundation

Vulnerabilidad en Tyco AI de Johnson Controls

Fuga de información sensible en aplicaciones .NET de Unified Automation

Múltiples vulnerabilidades en Connected Components Workbench de Rockwell Automation