Múltiples vulnerabilidades en ctrlX CORE de Bosch

Fecha de publicación: 21/04/2022

Importancia:
Crítica

Recursos afectados:

• ctrlX CORE, versiones anteriores a XCR-V-0114.1;
• ctrlX CORE (LTS), versiones anteriores a XCR-V-0112.15;
• ctrlX CORE (Node-Red), versiones anteriores a RED-V-0114.4;
• ctrlX CORE (Node-Red) (LTS), versiones anteriores a RED-V-0112.4.

Descripción:

Se han identificado 25 vulnerabilidades en ctrlX CORE de Bosch: 10 de severidad crítica, 8 altas, 4 medias, 1 baja y 2 sin severidad asignada. Un atacante podría escalar privilegios, obtener acceso al sistema o causar una denegación de servicio del dispositivo, explotando alguna de estas vulnerabilidades.

Solución:

Actualizar a las versiones:

• core20 20220318 (parte de XCR-V-0112.15);
• RED-V-0112.4 (rama LTS);
• core20 20220318 (parte de XCR-V-0114.1);
• RED-V-0114.4.

La actualización de core20 puede requerir un reinicio del dispositivo y, por lo tanto, el dispositivo no estará disponible temporalmente.

Detalle:

Los tipos de vulnerabilidades de severidad crítica son los siguientes:

• denegación de servicio,
• divulgación de información,
• desbordamiento de entero,
• desbordamiento de búfer,
• ejecución arbitraria de código,
• omisión de validación de la codificación,
• inserción de caracteres separadores namespace en las URI de namespace.

Para estas vulnerabilidades críticas se han asignado los identificadores CVE-2021-35942, CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-23218, CVE-2022-23219, CVE-2022-23852, CVE-2022-23990, CVE-2022-25235 y CVE-2022-25236.

Respecto al resto de vulnerabilidades no críticas, se pueden consultar sus identificadores CVE en el aviso del fabricante.

Etiquetas:
Actualización, Infraestructuras críticas, Linux, SSL/TLS, Vulnerabilidad