Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en Realtek SDK afectan a varios fabricantes

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 18/08/2021

Importancia:
CrĂ­tica

Recursos afectados:

Realtek AP-Router SDK, versiones:

  • Realtek SDK, versiones 2.x;
  • Realtek “Jungle” SDK, versiones 3.0, 3.1, 3.2, 3.4.x, 3.4T y 3.4T-CT;
  • Realtek “Luna” SDK, hasta la versiĂłn 1.3.2;
  • rtl819x-SDK-v3.2.x Series;
  • rtl819x-SDK-v3.4.x Series;
  • rtl819x-SDK-v3.4T Series;
  • rtl819x-SDK-v3.4T-CT Series;
  • rtl819x-eCos-v1.5.x Series.

IoT Inspector identificĂł al menos 65 proveedores diferentes afectados con cerca de 200 huellas digitales Ășnicas. El listado completo de los fabricantes afectados hasta el momento se puede consultar en la secciĂłn Appendix.

DescripciĂłn:

Quentin Kaiser, investigador de IoT Inspector Research Lab, ha notificado 4 vulnerabilidades, 2 de severidad crĂ­tica y 2 altas, en Realtek SDk que podrĂ­an permitir a los atacantes no autentificados comprometer completamente el dispositivo de destino y ejecutar cĂłdigo arbitrario con el mĂĄs alto nivel de privilegio.

SoluciĂłn:

  • Realtek SDK 2.x: ya no recibe soporte de Realtek.
  • Para Realtek “Jungle” SDK, los parches serĂĄn proporcionados por Realtek y necesitan realizar backporting.
  • Para Realtek “Luna” SDK, actualizar a la versiĂłn 1.3.2a.

Detalle:

  • La herramienta MP UDPServer estĂĄ afectada por mĂșltiples vulnerabilidades de desbordamiento de bĂșfer y una vulnerabilidad de inyecciĂłn de comandos arbitrarios, debido a que no se puede comprobar suficientemente la legalidad de los comandos recibidos de los clientes. Se ha asignado el identificador CVE-2021-35394 para esta vulnerabilidad crĂ­tica.
  • El servidor web HTTP boa (go-ahead ha quedado obsoleto) es vulnerable a mĂșltiples desbordamientos de bĂșfer debido a copias inseguras de algunos parĂĄmetros demasiado largos enviados en el formulario. Se ha asignado el identificador CVE-2021-35395 para esta vulnerabilidad crĂ­tica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-35392 y CVE-2021-35393.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Comunicaciones, Infraestructuras crĂ­ticas, IoT, Privacidad, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.