Vulnerabilidad PwnKit afecta a productos Moxa

Fecha de publicación 09/03/2022
Importancia
4 - Alta
Recursos Afectados
  • Versión de firmware 1.5 o anteriores en UC-8100A-ME-T Series.
  • Versión de firmware 1.3 o anteriores en UC-5100 Series.
  • Versión de firmware 1.2 o anteriores en:
    • UC-2100 Series;
    • UC-2100-W Series;
    • V2406C Series;
    • DA-682C Series;
    • DA-820C Series.
  • Versión de firmware 1.1 o anteriores en:
    • UC-3100 Series;
    • DA-681C Series;
    • AIG-501 Series.
  • Versión de firmware 1.0 o anteriores en:
    • V2403C Series;
    • MPC-2070 Series;
    • MPC-2101 Series;
    • MPC-2120 Series;
    • MPC-2121 Series;
    • MPC-2190 Series;
    • MPC-2240 Series;
    • EXPC-1519 Series.
Descripción

Moxa ha notificado un listado de dispositivos afectados por la vulnerabilidad PwnKit.

Solución

Para el firmware que esté usando Debian o Moxa Industrial Linux (MIL), se deben seguir los pasos, descritos en la sección de 'Solutions' del aviso del fabricante, para actualizar el paquete policykit-1 a la última versión.

Detalle

Se trata de una vulnerabilidad de corrupción de memoria causada por la forma en que los argumentos son leídos por el componente pkexec de PolKit. Esto permitiría reintroducir en el entorno de pkexec una variable de entorno insegura, que podría permitir la ejecución de librerías arbitrarias, y que normalmente se eliminaría antes de la ejecución del programa. Se ha asignado el identificador CVE-2021-4034 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Moxa’s Response Regarding the PwnKit Vulnerability
PwnKit: escalada de privilegios local en PolKit afecta a distribuciones Linux
Etiquetas