Múltiples vulnerabilidades en productos Bosch
- Rexroth IoT Gateway;
- ctrlX CORE Runtime, versión XCR-V-0108.1 y anteriores.
Se han notificado múltiples vulnerabilidades en las librerías del sistema operativo y el kernel de Linux que podrían permitir a un atacante comprometer el sistema provocando un fallo o la ejecución de código malicioso.
- Para el ctrlX CORE, las vulnerabilidades del kernel de Linux se abordan con la actualización XCR-V-0108.
- Para las vulnerabilidades de las bibliotecas del sistema operativo ctrlX CORE, está prevista una versión actualizada para el 05/2021. Póngase en contacto con su distribuidor para obtener instrucciones sobre cómo recuperar las actualizaciones.
Se recomienda aplicar medidas de mitigación hasta que la actualización esté disponible. Puede encontrarlas en la 'Guía de seguridad de accionamientos y controles eléctricos'.
Las vulnerabilidades de severidad crítica se refieren a:
- En la utilidad de línea de comandos de Zstandard, versiones anteriores a la 1.4.1, los archivos de salida se creaban con permisos por defecto. Los permisos correctos de los archivos (que coincidían con los de entrada) sólo se establecían en el momento de la finalización. Por lo tanto, los archivos de salida podían ser leídos o escritos por personas no deseadas. Se ha asignado el identificador CVE-2021-24031 para esta vulnerabilidad.
- La utilidad de línea de comandos de Zstandard creaba archivos de salida con permisos por defecto y restringía esos permisos inmediatamente después. Por lo tanto, los atacantes podían leer o escribir estos archivos de salida. Se ha asignado el identificador CVE-2021-24032 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-27815, CVE-2020-27830, CVE-2020-28374, CVE-2020-28941, CVE-2020-29568, CVE-2020-29569, CVE-2020-29660, CVE-2020-29661, CVE-2021-24032, CVE-2021-27218, CVE-2021-27219, CVE-2021-27803, CVE-2020-27815, CVE-2020-27830, CVE-2020-28374, CVE-2020-28941, CVE-2020-29568, CVE-2020-29569, CVE-2020-29660, CVE-2020-29661, CVE-2021-20232, CVE-2021-24031, CVE-2021-24032, CVE-2021-27218, CVE-2021-27219 y CVE-2021-27803.
