Múltiples vulnerabilidades en productos Niagara de Tridium
Fecha de publicación
20/09/2019
Importancia
4 - Alta
Recursos Afectados
- Niagara AX 3.8u4 (JACE 3e, JACE 6e, JACE 7, JACE-8000);
- Niagara 4.4u3 (JACE 3e, JACE 6e, JACE 7, JACE-8000);
- Niagara 4.7u1 (JACE-8000, Edge 10).
Descripción
Los investigadores Johannes Eger y Fabian Ullrich, de Secure Mobile Networking Lab, han reportado 2 vulnerabilidades, una de severidad alta y otra media, de tipo exposición de información y autorización inapropiada respectivamente, que permitirían a un atacante local el escalar sus privilegios.
Solución
Tridium ha publicado las siguientes actualizaciones para solucionar estas vulnerabilidades, disponibles poniéndose en contacto con el canal de soporte de ventas o con el equipo de soporte de Tridium:
- Niagara AX 3.8u4:
- OS Dist: 2.7.402.2;
- NRE Config Dist: 3.8.401.1.
- Niagara 4.4u3:
- OS Dist: 4.4.73.38.1 NRE Config;
- Dist: 4.4.94.14.1.
- Niagara 4.7u1:
- OS Dist: (JACE 8000) 4.7.109.16.1;
- OS Dist (Edge 10): 4.7.109.18.1;
- NRE Config Dist: 4.7.110.32.1.
Detalle
- El servicio QNX procfs provee acceso a información de procesos y recursos, lo que permitiría a un proceso con menor nivel de privilegios acceder al espacio de direcciones objetivo. Se ha asignado el identificador CVE-2019-8998 para esta vulnerabilidad.
- Una utilidad específica podría permitir a un atacante obtener acceso de lectura a archivos con privilegios. Se ha reservado el identificador CVE-2019-13528 para esta vulnerabilidad.
Listado de referencias
Etiquetas