Múltiples vulnerabilidades en servicios DDS de varios fabricantes

Fecha de publicación: 12/11/2021

Importancia:
Alta

Recursos afectados:

  • Eclipse CycloneDDS, todas las versiones anteriores a la 0.8.0;
  • eProsima Fast DDS, todas las versiones anteriores a la 2.4.0 (#2269);
  • GurumNetworks GurumDDS, todas las versiones;
  • Object Computing, Inc. (OCI) OpenDDS, todas las versiones anteriores a la 3.18.1;
  • Real-Time Innovations (RTI) Connext DDS Professional y Connext DDS Secure, versiones de la 4.2x a la 6.1.0;
  • RTI Connext DDS Micro, versión 3.0.0 y posteriores;
  • TwinOaks Computing CoreDX DDS, todas las versiones anteriores a la 5.9.1.

Descripción:

Múltiples investigadores han reportado al CISA siete vulnerabilidades de severidad alta y otras seis de severidad media que podrían permitir a un atacante causar una condición de denegación de servicio, ejecución remota de código o exposición de información.

Solución:

Actualizar:

En el caso de GurumDDS, ponerse en contacto con el fabricante a través de su correo.

Detalle:

  • Fast DDS, OpenDDS, los productos RTI y CoreDX DDS presentan vulnerabilidades de consumo incontrolado de recursos, lo que podría permitir a un atacante causar una condición de denegación de servicio o exponer información, mediante el envío de un paquete especialmente diseñado al dispositivo. Se han asignado los identificadores CVE-2021-38425, CVE-2021-38447, CVE-2021-38429, CVE-2021-38487 y CVE-2021-43547 para estas vulnerabilidades de severidad alta.
  • GurumDDS presenta una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica, que podría permitir a un atacante causar una condición de denegación de servicio o ejecutar código arbitrario de forma remota. Se ha asignado el identificador CVE-2021-38439 para esta vulnerabilidad alta.
  • OpenDDS presenta una vulnerabilidad de gestión inadecuada del parámetro de longitud asociado a los datos, lo que podría permitir a un atacante remoto ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-38445 para esta vulnerabilidad alta.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-38441, CVE-2021-38443, CVE-2021-38423, CVE-2021-38427, CVE-2021-38433 y CVE-2021-38435.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.