Introducció
La investigadora Nataliya Tlyapova de Positive Technologies, ha descobert cinc vulnerabilitats, dues d’elles crítiques.
Análisis
Les vulnerabilitats de severitat crítica reportades [1]:
CVE-2022-43761: falta d’autenticació en crear i gestionar la base de dades APROL, podria permetre llegir i fer canvis en la configuració del sistema.
Un atacant que aprofite amb èxit aquesta vulnerabilitat podria canviar o llegir la configuració o fer que el node afectat deixe de funcionar.
CVE-2022-43764: validació insuficient dels paràmetres d’entrada en canviar la configuració en el servidor Tbase en APROL, podria provocar un desbordament de *búfer que originara una condició de denegació de servei o l’execució de codi arbitrari.
Si aquesta vulnerabilitat és aprofitada amb èxit podria fer que el node del sistema afectat es detinga o es torne inaccessible.
Tots els models afectats són:
-
-
- APROL, versions anterior a R 4.2-07.
-
Recomanacions
El fabricadora B&R recomana una actualització que permet al client restringir l’accés al component afectat utilitzant l’autenticació de client TLS (Mutual TLS), disponible en les versions APROL R 4.2-07 i superiors amb AutoYaST V4.2-070.0.120102 i superiors.
Es recomana aplicar l’actualització al més prompte posible.
Referències
[1] B&R APROL Several Issues in APROL database