Escritura fuera de límites en múltiples productos de TRUMPF

Fecha de publicación 23/03/2021
Importancia
4 - Alta
Recursos Afectados
  • TruControl, versiones desde la 2.14.0 hasta la 3.14.0, de los siguientes productos:
    • TruPulse,
    • TruDisk,
    • TruDiode,
    • TruFiber,
    • TruMicro2000,
    • TruMicro5000,
    • TruMicro6000,
    • TruMicro7000,
    • TruMicro8000,
    • TruMicro9000,
    • redpowerDirect.
Descripción

Qualys Research Labs ha reportado al fabricante TRUMPF Laser GmbH una vulnerabilidad de escritura fuera de límites que afecta a múltiples dispositivos. El fabricante, a su vez, ha notificado esta vulnerabilidad al CERT@VDE.

Solución
  • Actualizar TruControl a la versión 3.16.0 o posteriores;
  • contactar con su socio de servicio (anonym@incibe.es381) para obtener instrucciones sobre cómo obtener el parche.
Detalle

Una vulnerabilidad de desbordamiento de búfer basado en Heap, presente en sudo, podría permitir la escalada de privilegios a root a través de "sudoedit -s" y un argumento de línea de comandos que termina con un solo carácter de barra invertida. Un usuario autenticado podría explotar esta vulnerabilidad provocando pérdida de datos en el control del láser, parada de la producción o daños por cambio del control del láser. Se ha asignado el identificador CVE-2021-3156 para esta vulnerabilidad ya publicada en INCIBE-CERT.

Encuesta valoración

Listado de referencias
TRUMPF Laser GmbH: TruControl 2.14.0 to 3.14.0 affected by recent sudo vulnerability (CVE-2021-3156)
Vulnerabilidad de desbordamiento de búfer en sudo
Etiquetas