Inicio / Content / Boletín de INCIBE-CERT del 23-03-2021

Boletín de INCIBE-CERT del 23-03-2021

Escritura fuera de límites en múltiples productos de TRUMPF

Fecha de publicación: 
23/03/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • TruControl, versiones desde la 2.14.0 hasta la 3.14.0, de los siguientes productos:
    • TruPulse,
    • TruDisk,
    • TruDiode,
    • TruFiber,
    • TruMicro2000,
    • TruMicro5000,
    • TruMicro6000,
    • TruMicro7000,
    • TruMicro8000,
    • TruMicro9000,
    • redpowerDirect.
Descripción: 

Qualys Research Labs ha reportado al fabricante TRUMPF Laser GmbH una vulnerabilidad de escritura fuera de límites que afecta a múltiples dispositivos. El fabricante, a su vez, ha notificado esta vulnerabilidad al CERT@VDE.

Solución: 
  • Actualizar TruControl a la versión 3.16.0 o posteriores;
  • contactar con su socio de servicio (service.tls@trumpf.com) para obtener instrucciones sobre cómo obtener el parche.
Detalle: 

Una vulnerabilidad de desbordamiento de búfer basado en Heap, presente en sudo, podría permitir la escalada de privilegios a root a través de "sudoedit -s" y un argumento de línea de comandos que termina con un solo carácter de barra invertida. Un usuario autenticado podría explotar esta vulnerabilidad provocando pérdida de datos en el control del láser, parada de la producción o daños por cambio del control del láser. Se ha asignado el identificador CVE-2021-3156 para esta vulnerabilidad ya publicada en INCIBE-CERT.

Encuesta valoración

Múltiples vulnerabilidades en routers EDR-810 de Moxa

Fecha de publicación: 
23/03/2021
Importancia: 
4 - Alta
Recursos afectados: 

EDR-810 Series, versiones de firmware:

  • 5.7 y anteriores para la vulnerabilidad CVE-2014-2284;
  • 5.1 y anteriores para el resto de vulnerabilidades.
Descripción: 

BDU FSTEC  ha reportado a Moxa 10 vulnerabilidades que podrían permitir a un atacante remoto originar una condición de denegación de servicio, realizar una escalada de privilegios, acceder a información confidencial y ejecutar código arbitrario.

Solución: 

Actualizar el firmware a la versión correspondiente desde la página web de soporte del fabricante:

  • 5.8 para la vulnerabilidad CVE-2014-2284;
  • 5.3 para el resto de vulnerabilidades.
Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • validación incorrecta de entrada;
  • denegación de servicio;
  • escalada de privilegios;
  • exposición de información sensible;
  • ejecución remota de código
  • errores de cifrado;
  • man-in-the-middle;
  • control de acceso, permisos, privilegios;
  • errores numéricos.

Para estas vulnerabilidades se han asignado los siguientes identificadores: CVE-2014-2284, CVE-2015-1788, CVE-2016-10012, CVE-2015-3195, CVE-2016-6515, CVE-2017-17562, CVE-2013-0169, CVE-2016-0703, CVE-2013-1813 y CVE-2010-2156.

Encuesta valoración