Home / Node / Boletín de INCIBE-CERT del 28-08-2019

Boletín de INCIBE-CERT del 28-08-2019

Desbordamiento de búfer en enteliBUS Controllers de Delta Controls

Publication date: 
08/28/2019
Importance: 
5 - Crítica
Affected resources: 
  • enteliBUS Manager versiones de firmware 3.40 R5 build 571848 y anteriores;
  • enteliBUS Manager Touch (eBMGR-TCH) versiones de firmware 3.40 R5 build 571848 y anteriores;
  • enteliBUS Controller (eBCON) versiones de firmware 3.40 R5 build 571848 y anteriores.
Description: 

Los investigadores, Douglas McKee y Mark Bereza, de McAfee Advanced Threat Research, han reportado una vulnerabilidad del tipo desbordamiento de búfer que afecta a equipamiento enteliBUS Controllers de Delta Controls. Un atacante, en la misma red, podría conseguir acceso completo al dispositivo y ejecutar código con privilegios de administrador.

Solution: 

Delta Controls ha publicado la actualización enteliBUS 3.40 R6 build 612850. Este nuevo firmware es únicamente accesible para partners registrados. Para poder obtener la actualización se recomienda contactar con Delta Controls o un distribuidor.

Detail: 

La vulnerabilidad de desbordamiento de búfer se debe a la falta de validación de la entrada. Un atacante remoto podría ejecutar código arbitrario. Se ha asignado el identificador CVE-2019-9569 para esta vulnerabilidad.

Encuesta valoración

Evasión de autenticación en AV7000 Linear Barcode Scanner de Datalogic

Publication date: 
08/28/2019
Importance: 
4 - Alta
Affected resources: 

Todas las versiones de AV7000, anteriores a la 4.6.0.0

Description: 

Los investigadores, Tri Quach y Blake Johnson, del grupo Customer Fulfillment Technology Security (CFS) de Amazon, han reportado una vulnerabilidad del tipo evasión de autenticación en AV7000 de Datalogic.

Solution: 

Datalogic ha reportado la liberación de una nueva versión del firmware que soluciona dicha vulnerabilidad. Los usuarios afectados deberán contactar con Datalogic para obtenerla.

Detail: 

La vulnerabilidad de evasión de autenticación mediante el uso de un canal o ruta alternativa, podría permitir a un atacante ejecutar código arbitrario remoto. Se ha asignado el identificador CVE-2019-13526 para esta vulnerabilidad.

Encuesta valoración