Home / Node / Boletín de INCIBE-CERT del 22-05-2020

Boletín de INCIBE-CERT del 22-05-2020

Almacenamiento de información confidencial en texto claro en varios productos de Sensormatic Electronics

Publication date: 
05/22/2020
Importance: 
5 - Crítica
Affected resources: 
  • Software House C•CURE 9000, versión 2.70;
  • American Dynamics victor Video Management System, versión 5.2.
Description: 

Johnson Controls ha notificado una vulnerabilidad al CISA, de severidad crítica, de tipo almacenamiento de información confidencial en texto claro, que afecta a varios productos de Sensormatic Electronics, LLC, una subsidiaria de Johnson Controls.

Solution: 
  • Software House C•CURE 9000: actualizar a la versión 2.80 o posteriores;
  • American Dynamics victor Video Management System: actualizar a la versión 5.3;
  • Eliminar los archivos de registro de c:\programdata\tyco\installertemp y cambiar la contraseña de la cuenta de Windows.
Detail: 

Durante la instalación o actualización de C•CURE 9000 en su versión 2.70, y de American Dynamics victor Video Management System en su versión 5.2, las credenciales del usuario que realiza la instalación o actualización se guardan en un archivo. El archivo de registro de instalación persiste después de la instalación. Se ha asignado el identificador CVE-2020-9045 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad en Device Library Wizard de ABB

Publication date: 
05/22/2020
Importance: 
4 - Alta
Affected resources: 

ABB Device Library Wizard, versiones 6.0.X, 6.0.3.1 y 6.0.3.2.

Description: 

Se ha publicado una vulnerabilidad en Device Library Wizard de ABB, de tipo divulgación de información, que podría permitir a un atacante tomar el control de uno o varios nodos del sistema.

Solution: 
  • Actualizar a las versiones 6.0.3.2 RU1, 6.0.3.3 o 6.1.X y posteriores.
  • ABB recomienda también cambiar las contraseñas de las cuentas de los usuarios que se sospeche que puedan ser conocidas por una persona sin experiencia. Se recomienda que el acceso interactivo (tanto local, como remoto) se deshabilite para la cuenta de servicio de estos artículos.
Detail: 

Las versiones afectadas de Device Library Wizard, crean un archivo que contiene datos confidenciales que pueden ser leídos por usuarios con pocos privilegios. Esto podría permitir a un atacante tomar el control de uno o varios nodos del sistema. Se ha reservado el identificador CVE-2020-8482 para esta vulnerabilidad.

Encuesta valoración