Inicio / Content / Boletín de INCIBE-CERT del 01-02-2022

Boletín de INCIBE-CERT del 01-02-2022

Múltiples vulnerabilidades en productos Gerbv

Fecha de publicación: 
01/02/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Gerbv 2.7.0;
  • Gerbv forked 2.7.1;
  • Gerbv forked 2.8.0;
  • Gerbv dev (commit b5f1eacd).
Descripción: 

Claudio Bozzato, de Cisco Talos, ha descubierto 2 vulnerabilidades en productos de Gerbv: 1 de severidad crítica y 1 media, que podrían permitir a un atacante realizar una ejecución de código y divulgación de información.

Solución: 

Aplicar los cambios como se indican en los enlaces de referencias.

Detalle: 

Existe una vulnerabilidad use-after-free en la funcionalidad de tokenización de la definición de apertura RS-274X de Gerbv 2.7.0 y dev (commit b5f1eacd), así como Gerbv forked 2.7.1. Un archivo gerber especialmente diseñado podría llevar a la ejecución de código. Se ha asignado el identificador CVE-2021-40401 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-40403.

Encuesta valoración

Vulnerabilidad en WIBU-SYSTEMS Codemeter

Fecha de publicación: 
01/02/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • WAGO e!COCKPIT engineering software installation bundle, versiones anteriores a la V1.11;
  • WAGO-I/O-Pro (CODESYS 2.3) engineering software installation, versiones 2.3.9.46, 2.3.9.47, 2.3.9.49, 2.3.9.53, 2.3.9.55, 2.3.9.61 y 2.3.9.66.
Descripción: 

WAGO, en coordinación con CERT@VDE, ha publicado una vulnerabilidad en WIBU-SYSTEMS Codemeter. Todos los paquetes de instalación de e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3) existentes actualmente están afectados con versiones vulnerables.

Solución: 
  • Se recomienda a los usuarios de e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3) que actualicen WIBU-SYSTEMS Codemeter instalando la última versión disponible de WIBU-SYSTEMS Codemeter.
  • WAGO proporcionará rutinas de configuración actualizadas para e!COCKPIT (versión 1.11) con la última versión de WIBU-SYSTEMS Codemeter en el segundo trimestre de 2022. Además, WAGO proporcionará un parche de seguridad para la versión 1.10 de e!COCKPIT en febrero de 2022.
  • WAGO proporcionará rutinas de configuración actualizadas para WAGO-I/O-Pro (CODESYS 2.3) (versión 2.3.9.68) con la última versión de WIBU-SYSTEMS Codemeter en el primer trimestre de 2022.
Detalle: 

Una vulnerabilidad del tipo resolución inadecuada de enlaces antes del acceso al archivo ('Link Following'), podría permitir a un atacante sobreescribir el archivo enlazado sin comprobar los permisos, mediante la creación de un enlace simbólico de CmDongles. Se ha asignado el identificador CVE-2021-41057 para esta vulnerabilidad.

Encuesta valoración