Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Fecha de publicación:

06/10/2017

Importancia:

4 - Alta

Recursos afectados:

CIMPLICITY versión 9.0 y anteriores.

Descripción:

El investigador David Atch ha identificado esta vulnerabilidad que permitiría a un atacante la ejecución arbitraria de código o provocar la caída del sistema.

Solución:

La compañía ha publicado la versión 9.5 la cual soluciona la vulnerabilidad que afecta al dispositivo. Además, se ha publicado un documento con la información necesaria para llevar a cabo la actualización. (Son necesarias credenciales de acceso)

Detalle:

Desbordamiento de búfer basado en pila: Existe una función que lee un paquete que indica la longitud del siguiente paquete. Este dato de longitud no está verificado, permitiendo la sobreescritura del búfer y la ejecución arbitraria de código. Se ha asignado el identificador CVE-2017-12732 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-17-278-01) GE CIMPLICITY

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Vulnerabilidad en fdtContainer afecta a múltiples productos de ENDRESS+HAUSER

Control de acceso inapropiado en gateways de ProSoft Technology

Múltiples vulnerabilidades en OpenVPN-Client de PerFact

Evasión de autenticación en múltiples productos de Rockwell Automation

Múltiples vulnerabilidades en FvDesigner de Fatek