Argitalpen data: 2022/01/25

Garrantzia:Altua

Kaltetutako baliabideak:

FL SWITCH, 2xxx familia, 3.00 bertsioa.

Azalpena:

Phoenix Contact-ek argitaratu du ahultasun hau, CERT@VDErekin lankidetzan. Hori baliatuz erasotzaile batek pribilegioak eskala litzake eta gailuaren kontrola eskuratu.

Konponbidea:

Kaltetutako gailua 3.00 bertsioa baino goragoko batera eguneratzea. Deskargarako loturak erreferentzien atalean daude eskuragarri.

Arintze neurri modura SSH bidezko saio hasiera desgaitzea gomendatzen da firmwarearen 3.00 bertsioa duten gailuetan. CLIrako sarbidea beharrezkoa bada eta konexio zifratu bat ez bada beharrezkoa aplikazio espezifikoan, zifratu gabeko Telnet zerbitzua erabil daiteke, ahultasun honek ez baitio eragiten.

Xehetasuna:

FL SWITCH 2xxx gailuen familiako erabiltzaileen kudeaketak roletan eta baimen taldeetan oinarritutako sarbide eskubideak inplementatzen ditu. Pribilegiorik gabeko erasotzaile batek CLI SSHren bidez saioa hasten badu, automatikoki esleitzen zaio administratzailearen rola, zeinahi delarik sarbiderako konfiguratuta daukan rola. Ondorioz gailuaren konfiguraziora sarbide osoa baimentzen zaio. Ahultasun horretarako CVE-2022-22509 identifikatzailea erabili da.

Etiketak:Eguneraketa, Azpiegitura kritikoak, Ahultasuna