Skip to main content

Argitalpen data: 2022/04/27 

Garrantzia: Altua 

Kaltetutako baliabideak:  

System Data Manager SDM600, 1.2 FP2 HF10 (Build Nr. 1.2.14002.506) baino lehenagoko bertsioak. 

Azalpena:  

Fabrikatzaileak 7 ahultasunen berri eman du: 6 larritasun altukoak eta 1 baxukoa. Ahultasun horiek arrakastaz baliatuz gero, erasotzaile batek trafikoa espia lezake edo zerbitzuaren ukapen egoera eragin. 

Konponbidea:  

System Data Manager SDM600 1.2 FP2 HF10 (Build Nr. 1.2.14002.506) bertsiora eguneratzea. 

Xehetasuna:  

Larritasun altuko ahultasunak azaltzen dira jarraian: 

  • OpenLDAP-en kaltetutako bertsioetan habiaratutako adierazpen boolearrak dituzten LDAP bilaketa iragazkiek zerbitzuaren ukapen egoera eragin lezakete. Ahultasun horretarako CVE-2020-12243 identifikatzailea esleitu da. 

  • OpenLDAP-en slapd zerbitzariaren bertsio kaltetuek duten akats batek asertzio akats bat eragin lezake asmo gaiztoko pakete bat prozesatzean, eta horrek zerbitzuaren ukapen egoera eragin lezake. Ahultasun horretarako CVE-2020-25709 identifikatzailea esleitu da. 

  • OpenLDAPen bertsio kaltetuen akats bat baliatuz, OpenLDAPek prozesatutako asmo gaiztoko pakete bat bidaliko lukeen erasotzaile batek huts egindako asertzio bat eragin lezake csnNormalize23() funtzioan. Horrek zerbitzuaren ukapen egoera eragin lezake. Ahultasun horretarako CVE-2020-25710 identifikatzailea esleitu da. 

  • OpenLDAPen bertsio kaltetuen akats bat baliatuz, OpenLDAPek prozesatutako asmo gaiztoko pakete bat bidaliko lukeen erasotzaile batek huts egindako asertzio bat eragin lezake csnNormalize23() funtzioan, eta horrek zerbitzuaren ukapen egoera eragin lezake. Ahultasun horretarako CVE-2020-36229 identifikatzailea esleitu da. 

  • Kaltetutako OpenLDAPen bertsioetan ahultasun bat aurkitu da, decode.c ber_next_element-eko DN X.509-ren analisian slapd-en asertzio akats bat eragiten duena, eta ondorioz horrek zerbitzuaren ukapen egoera eragin lezake. Ahultasun horretarako CVE-2020-36230 identifikatzailea esleitu da. 

  • OpenSSL-ren bertsio kaltetuek duten akats batek eragin lezake EVP_CipherUpdate, EVP_EncryptUpdate eta EVP_DecryptUpdate-ra egindako deiek kasu batzuetan irteeraren luzeraren argumentua gainezkatzea, sarreraren luzera plataforman osoko batentzat baimendutako gehieneko luzeratik gertu dagoenean. Egoera honek eragin lezake aplikazioek portaera okerra izatea. Ahultasun horretarako CVE-2021-23840 identifikatzailea esleitu da. 

Larritasun baxuko ahultasunerako CVE-2020-1968 identifikatzailea esleitu da. 

 

Partekatu

Linkedin partekatu