Validación incorrecta en parámetros de entrada en productos de General Electric
Fecha de publicación 18/05/2018
Importancia
4 - Alta
Recursos Afectados
- PACSystems RX3i CPE305/310 versión 9.20 y anteriores.
- RX3i CPE330 versión 9.21 y anteriores.
- RX3i CPE 400 versión 9.30 y anteriores.
- PACSystems RSTi-EP CPE 100 todas las versiones.
- PACSystems CPU320/CRU320 y RXi todas las versiones.
Descripción
Younes Dragoni de Nozomi Networks ha reportado al NCCIC esta vulnerabilidad de tipo validación incorrecta en parámetros de entrada. La explotación remota de esta vulnerabilidad permitiría a un posible atacante causar un reinicio en el sistema afectado o cambios en el estado del dispositivo. Este hecho provocaría un estado de indisponibilidad del dispositivo afectado.
Solución
General Electric ha publicado una nueva versión de firmware que mitiga esta vulnerabilidad.
- IC695CPE305 - https://digitalsupport.ge.com/communities/en_US/Download/IC695CPE305-PACSystems-RX3i-CPU-DN
- IC695CPE310 – https://digitalsupport.ge.com/communities/en_US/Download/IC695CPE310-PACSystems-RX3i-CPU-DN
- IC695CPE330 – https://digitalsupport.ge.com/communities/en_US/Download/IC695CPE330-PACSystems-RX3i-CPU-DN
- IC695CPE400 – https://digitalsupport.ge.com/communities/en_US/Download/IC695CPE400-PACSystems-RX3i-Rackless-CPU-with-Field-Agent
- CPE100 - https://digitalsupport.ge.com/communities/cc_login?startURL=%2Fen_US%2FDownload%2FEPSCPE100-RSTi-EP-CPU-Firmware
- CPU/CRU320 – General Electric ha señalado que este modelo de dispositivo está en el final de su vida útil y por ello recomienda cambiarlo por un modelo más actual.
Detalle
- Validación incorrecta en parámetros de entrada. Esta vulnerabilidad permitiría a un posible atacante causar un estado de indisponibilidad en el dispositivo afectado gracias al envío de peticiones con paquetes especialmente diseñados. Para esta vulnerabilidad se ha reservado el identificador CVE-2018-8867.
Listado de referencias
Etiquetas