Múltiples vulnerabilidades en System Data Manager de Hitachi Energy

Fecha de publicación: 27/04/2022

Importancia:
Alta

Recursos afectados:

System Data Manager SDM600, versiones anteriores a 1.2 FP2 HF10 (Build Nr. 1.2.14002.506).

Descripción:

El fabricante ha reportado 7 vulnerabilidades: 6 de severidad alta y 1 baja. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante espiar el tráfico o causar una condición de denegación de servicio.

Solución:

Actualizar System Data Manager SDM600 a la versión 1.2 FP2 HF10 (Build Nr. 1.2.14002.506).

Detalle:

Las vulnerabilidades de severidad alta se describen a continuación:

  • En las versiones afectadas de OpenLDAP los filtros de búsqueda LDAP con expresiones booleanas anidadas podrían dar lugar a una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-12243 para esta vulnerabilidad.
  • Un fallo en las versiones afectadas del servidor slapd, de OpenLDAP, podría causar un fallo de aserción al procesar un paquete malicioso, lo que podría generar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-25709 para esta vulnerabilidad.
  • Un fallo en las versiones afectadas de OpenLDAP podría permitir a un atacante, que envía un paquete malicioso procesado por OpenLDAP, forzar una aserción fallida en la función csnNormalize23(). Esto podría llevar a una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-25710 para esta vulnerabilidad.
  • Un fallo en las versiones afectadas de OpenLDAP podría permitir a un atacante, que envía un paquete malicioso procesado por OpenLDAP, forzar una aserción fallida en la función csnNormalize23(), lo que podría generar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-36229 para esta vulnerabilidad.
  • Se ha descubierto una vulnerabilidad en las versiones de OpenLDAP afectadas, que provoca un fallo de aserción en slapd en el análisis de DN X.509 en decode.c ber_next_element, lo que podría provocar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-36230 para esta vulnerabilidad.
  • Un fallo en las versiones afectadas de OpenSSL podría causar que las llamadas a EVP_CipherUpdate, EVP_EncryptUpdate y EVP_DecryptUpdate desborden el argumento de la longitud de salida en algunos casos, en los que la longitud de entrada esté cerca de la longitud máxima permitida para un entero en la plataforma. Esta situación podría llevar a las aplicaciones a comportarse de forma incorrecta. Se ha asignado el identificador CVE-2021-23840 para esta vulnerabilidad.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2020-1968.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, SCADA, SSL/TLS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.