Fecha de publicación: 21/04/2022
Importancia:
Crítica
Recursos afectados:
- ctrlX CORE, versiones anteriores a XCR-V-0114.1;
- ctrlX CORE (LTS), versiones anteriores a XCR-V-0112.15;
- ctrlX CORE (Node-Red), versiones anteriores a RED-V-0114.4;
- ctrlX CORE (Node-Red) (LTS), versiones anteriores a RED-V-0112.4.
Descripción:
Se han identificado 25 vulnerabilidades en ctrlX CORE de Bosch: 10 de severidad crítica, 8 altas, 4 medias, 1 baja y 2 sin severidad asignada. Un atacante podría escalar privilegios, obtener acceso al sistema o causar una denegación de servicio del dispositivo, explotando alguna de estas vulnerabilidades.
Solución:
Actualizar a las versiones:
- core20 20220318 (parte de XCR-V-0112.15);
- RED-V-0112.4 (rama LTS);
- core20 20220318 (parte de XCR-V-0114.1);
- RED-V-0114.4.
La actualización de core20 puede requerir un reinicio del dispositivo y, por lo tanto, el dispositivo no estará disponible temporalmente.
Detalle:
Los tipos de vulnerabilidades de severidad crítica son los siguientes:
- denegación de servicio,
- divulgación de información,
- desbordamiento de entero,
- desbordamiento de búfer,
- ejecución arbitraria de código,
- omisión de validación de la codificación,
- inserción de caracteres separadores namespace en las URI de namespace.
Para estas vulnerabilidades críticas se han asignado los identificadores CVE-2021-35942, CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-23218, CVE-2022-23219, CVE-2022-23852, CVE-2022-23990, CVE-2022-25235 y CVE-2022-25236.
Respecto al resto de vulnerabilidades no críticas, se pueden consultar sus identificadores CVE en el aviso del fabricante.
Etiquetas:
Actualización, Infraestructuras críticas, Linux, SSL/TLS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.