Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en LANTIME de Meinberg

Fecha de publicación 24/05/2023
Identificador

INCIBE-2023-0191

Importancia
4 - Alta
Recursos Afectados

LANTIME, versiones de firmware anteriores a 7.06.014.

Este firmware se usa en todos los dispositivos de las series M e IMS de LANTIME.

Descripción

Meinberg ha publicado nuevas versiones de su firmware LANTIME que incluyen actualizaciones de seguridad de varias librerías y programas de terceros, corrigiendo 4 vulnerabilidades de severidad alta, 11 medias y 1 baja.

Solución

Actualizar a la versión 7.06.014.

Se recomienda una actualización del firmware LANTIME a la versión 7.06.014 respecto a 7.06.014-light. Los clientes que no puedan instalar la versión 7.06.014 deberán instalar en su lugar la 7.06.014-light.

Detalle

Las vulnerabilidades de severidad alta se describen a continuación:

  • modificación de posiciones de memoria inesperadas (double free) en la funcionalidad per-command chroot de sudo (CVE-2023-27320);
  • omisión de autenticación en la función de reutilización de conexiones FTP del comando curl (CVE-2023-27535);
  • limitación incorrecta de una ruta a un directorio restringido (path traversal) con el carácter de la tilde en el comando curl (CVE-2023-27534);
  • validación incorrecta de datos de entrada usando el protocolo TELNET en el comando curl (CVE-2023-27533).

El resto de vulnerabilidades medias y bajas afectan a distintos componentes de terceros y sus identificadores CVE pueden consultarse en el enlace incluido en las referencias.