Fecha de publicación: 15/03/2022
Importancia:
Alta
Recursos afectados:
Dräger Infinity Central Station (ICS):
- VG2.1.2
- VG3.
La versión del ICS puede verse al pasar el puntero del ratón sobre el logotipo de Draeger en la parte inferior derecha de la pantalla.
Descripción:
Qualys ha descubierto una vulnerabilidad de corrupción de memoria en pkexec de polkit, que podría permitir a un atacante la escalada local de privilegios. Polkit es un componente para controlar los privilegios en los sistemas operativos tipo Unix.
Solución:
- ICS VG2 está basado en CentOS6, el parche para esta versión se proporciona a partir de los parches de febrero de 2022 para CentOS6.
- ICS VG3 está basado en CentOS7, el parche para esta versión se proporciona a partir de los parches de febrero de 2022 para CentOS7.
Detalle:
La versión actual de pkexec no gestiona adecuadamente el recuento de parámetros de llamada, provocando que las variables de entorno se utilicen como comandos. Esto podría permitir a un atacante ejecutar código arbitrario mediante la elaboración de variables de entorno especialmente diseñadas. Se ha asignado el identificador CVE-2021-4034 para esta vulnerabilidad.
Etiquetas:
Actualización, Infraestructuras críticas, Sanidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.