Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Fecha de publicación:

06/10/2017

Importancia:

4 - Alta

Recursos afectados:

CIMPLICITY versión 9.0 y anteriores.

Descripción:

El investigador David Atch ha identificado esta vulnerabilidad que permitiría a un atacante la ejecución arbitraria de código o provocar la caída del sistema.

Solución:

La compañía ha publicado la versión 9.5 la cual soluciona la vulnerabilidad que afecta al dispositivo. Además, se ha publicado un documento con la información necesaria para llevar a cabo la actualización. (Son necesarias credenciales de acceso)

Detalle:

Desbordamiento de búfer basado en pila: Existe una función que lee un paquete que indica la longitud del siguiente paquete. Este dato de longitud no está verificado, permitiendo la sobreescritura del búfer y la ejecución arbitraria de código. Se ha asignado el identificador CVE-2017-12732 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-17-278-01) GE CIMPLICITY

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de pila en General Electric CIMPLICITY

Múltiples vulnerabilidades en codificadores IPTV basados en hardware HiSilicon

Vulnerabilidad en FATEK Automation PLC WinProladder

Múltiples vulnerabilidades en dispositivos de monitorización de pacientes de Philips

Múltiples vulnerabilidades en Enterprise Data Management Web de AVEVA

Múltiples vulnerabilidades en productos Schneider