Argitalpen data: 2021/02/16

Garrantzia:Altua

Kaltetutako baliabideak:

• mymbCONNECT24, 2.6.2 bertsioa eta aurrekoak;
• mbCONNECT24, 2.6.2 bertsioa eta aurrekoak.

Azalpena:

OTORIO erakundeak MB connect line enpresarijakinarazi dio, CERT@VDErekin elkarlanean, ahultasun batzuk antzeman direla: 2larritasun txikikoak dira, 14 tarteko larritasunekoak eta beste 2 larritasunhandikoak. Horien bidez, erasotzaile batek pribilegioetan gora egin lezake, edodatu-baseetara sartu.

Konponbidea:

• CVE-2020-10384 ahultasunerako, 2.6.2 bertsiora eguneratzea.
• CVE-2020-35567 ahultasunerako ez dago konponbiderik, momentuz.
• CVE-2020-35565 ahultasunerako, arintze-neurri moduan indarkeriaren detekzioa aktibatzea gomendatu da, momentuz, ez baitago konponbiderik.
• CVE-2020-35561 ahultasunerako, arintze-neurri moduan firewall bat ezartzea gomendatu da, momentuz, ez baitago konponbiderik.
• Gainerako ahultasunetarako, 2.7.1 bertsiora eguneratzea.

Xehetasunak:

• Kredentzial barneratuen motako ahultasun baten bidez, erasotzaile batek datu-base baterako sarbidea eskura lezake, izan ere, sarbide-pasahitz segurua instantzia artean partekatzen da. Larritasun handiko ahultasun horretarako CVE-2020-35567 identifikatzailea esleitu da.
• Pribilegioen kudeaketa desegokiaren motako ahultasun baten bidez, erasotzaile batek pribilegioetan gora egin lezake www-data kontutik root kontura. Larritasun handiko ahultasun horretarako CVE-2020-10384 identifikatzailea esleitu da.

Tarteko larritasuneko ahultasunei honakoakesleitu zaizkie: CVE-2020-35557, CVE-2020-12527, CVE-2020-12528,CVE-2020-35570, CVE-2020-35558, CVE-2020-12529, CVE-2020-35560, CVE-2020-12530,CVE-2020-35564, CVE-2020-35566, CVE-2020-35559, CVE-2020-35568, CVE-2020-35565eta CVE-2020-35561.

Larritasun txikiko ahultasunei honakoakesleitu zaizkie: CVE-2020-35563 eta CVE-2020-35569.

Etiquetas: Eguneratzea, Azpiegitura kritikoak, Ahultasuna.