Skip to main content

Kaltetutako baliabideak:

DA50Nm, bertsio guztiak.

Azalpena:

Dolus Technology Inc.-eko Ron Brash-ek ahultasun hauen berri eman dio CISAri. Horiek baliatuz erasotzaile batek datuak arriskuan jarri edo aldatu litzake edo zerbitzuaren ukapen egoera eragin.

Konponbidea:

DA50N produktu zaharkitua da eta ez du inolako zerbitzurik jasoko. Fabrikatzaileak gomendatzen du ondoren aipatzen diren arintze neurriak ezartzea, edo DA50A edo DA70A produktuetara migratzea.

  • Red Lion-en webgune ofiziala ez den beste iturri batzuetatik jasotako irudi fitxategiak ez instalatzea;
  • Red Lion-en webguneko irudiak baztertzean, zerbitzariaren TLS ziurtagiriaren baliozkotasuna egiaztatzea;
  • paketeen fitxategiak edo irudiak instalazioa baino lehen gorde behar badira, modu seguruan gordetzen direla egiaztatzea;
  • SD txartelaren bidez baimendu gabeko instalazioen arriskua ahalik eta gehien gutxitzea, gailurako sarbide fisikoa murriztuz;
  • erabiltzailearen interfazearen lehenetsitako pasahitza aldatuko dela ziurtatzea, segurtasun praktika estandarrak beteko dituen beste batekin;
  • admin, rlcuser eta techsup kontuen pasahitzak aldatzea, lehenetsitako balioak saihestuz;
  • SSH zerbitzua desgaitzea eta telnet zerbitzua desgaituta mantentzea, beharrezkoak ez badira;
  • baliabide ezberdinak babesteko pasahitz berdina ez erabiltzea;
  • sarbidea murriztea kredentzial baliozkoak dituzten konfigurazio fitxategietara;
  • kredentzial seguruak erabiltzea aukerazko zerbitzuak konfiguratzean;
  • aukerazko zerbitzuen artetik aplikaziorako beharrezkoa den gutxieneko multzoa soilik gaitzea.

Xehetasuna:

  • Web erabiltzailearen interfazearen pasahitz ahula baliatua izan liteke HTTP edo HTTPS bidez. Behin sarbidea eskuratu ondoren, erasotzaile batek gainerako pasahitzak alda litzake. Linuxeko kontuetan pasahitz ahulera sarbidea lor liteke SSH bidez (modu lehenetsian aktibatuta) edo Telnet bidez. SSH zerbitzuak root modura saio hasierarik onartzen ez duen arren, Linuxen gainerako beste edozein konturen bat erabiliz saioa hasten duen erasotzaile batek pribilegioak eskala litzake root kontura, 'su' komandoa erabiliz, lotutako pasahitzera sarbidea baldin badu. Larritasun kritikoko ahultasun honetarako CVE-2022-1039 identifikatzailea erabili da.
  • Baimendutako erabiltzaileek bereziki diseinatutako pakete baten fitxategia instala lezakete gailua eguneratzean web erabiltzailearen interfazearen bidez. Erabiltzaileak ustekabean erabil lezake baimendu gabeko iturri batetik eskuratutako pakete fitxategi bat edo deskargaren eta inplementazioaren artean kaltetua izan den fitxategi bat. Larritasun altuko ahultasun horretarako CVE-2022-26516 identifikatzailea erabili da.
  • Produktu hau Linux v4.9.119ren kernel batean oinarritzen da, zaharkitua eta mantenurik gabekoa, segurtasunari eragin liezaioketen hainbat ahultasun dituena.

Larritasun ertaineko ahultasunerako CVE-2022-27179 identifikatzailea erabili da.

 

Partekatu

Linkedin partekatu