Fecha de publicación: 12/11/2021
Importancia:
Alta
Recursos afectados:
- Eclipse CycloneDDS, todas las versiones anteriores a la 0.8.0;
- eProsima Fast DDS, todas las versiones anteriores a la 2.4.0 (#2269);
- GurumNetworks GurumDDS, todas las versiones;
- Object Computing, Inc. (OCI) OpenDDS, todas las versiones anteriores a la 3.18.1;
- Real-Time Innovations (RTI) Connext DDS Professional y Connext DDS Secure, versiones de la 4.2x a la 6.1.0;
- RTI Connext DDS Micro, versión 3.0.0 y posteriores;
- TwinOaks Computing CoreDX DDS, todas las versiones anteriores a la 5.9.1.
Descripción:
Múltiples investigadores han reportado al CISA siete vulnerabilidades de severidad alta y otras seis de severidad media que podrían permitir a un atacante causar una condición de denegación de servicio, ejecución remota de código o exposición de información.
Solución:
Actualizar:
- CycloneDDS con el último parche,
- Fast DDS con el último parche,
- OpenDDS a la versión 18.1 u otra posterior,
- productos RTI con el último parche,
- CoreDX DDS a la versión 5.9.1 u otra posterior.
En el caso de GurumDDS, ponerse en contacto con el fabricante a través de su correo.
Detalle:
- Fast DDS, OpenDDS, los productos RTI y CoreDX DDS presentan vulnerabilidades de consumo incontrolado de recursos, lo que podría permitir a un atacante causar una condición de denegación de servicio o exponer información, mediante el envío de un paquete especialmente diseñado al dispositivo. Se han asignado los identificadores CVE-2021-38425, CVE-2021-38447, CVE-2021-38429, CVE-2021-38487 y CVE-2021-43547 para estas vulnerabilidades de severidad alta.
- GurumDDS presenta una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica, que podría permitir a un atacante causar una condición de denegación de servicio o ejecutar código arbitrario de forma remota. Se ha asignado el identificador CVE-2021-38439 para esta vulnerabilidad alta.
- OpenDDS presenta una vulnerabilidad de gestión inadecuada del parámetro de longitud asociado a los datos, lo que podría permitir a un atacante remoto ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-38445 para esta vulnerabilidad alta.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-38441, CVE-2021-38443, CVE-2021-38423, CVE-2021-38427, CVE-2021-38433 y CVE-2021-38435.
Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.