Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en DIVAR IP de Bosch

Fecha de publicación 08/08/2024
Identificador
INCIBE-2024-0393
Importancia
4 - Alta
Recursos Afectados

Versiones anteriores a DIVAR IP System Manager 2.3.2 en los productos:

  • Bosch DIVAR IP all-in-one 4000 (DIP-44xx);
  • Bosch DIVAR IP all-in-one 5000 (DIP-52xx);
  • Bosch DIVAR IP all-in-one 6000 (DIP-64xx);
  • Bosch DIVAR IP all-in-one 7000 (DIP-74xx y DIP-72xx);
  • Bosch DIVAR IP all-in-one 7000 R3 (DIP-73xx).
Descripción

Se han descubierto múltiples vulnerabilidades Curl en su componente Git para Windows. La explotación de estas vulnerabilidades podrían permitir la ejecución de comandos, fuga de memoria, afectar a la disponibilidad e integridad de los archivos.

Solución

Actualizar a las versiones 2.3.2 o posteriores.

Detalle

Cuando una aplicación solicita a libcurl que quiere permitir el envío de recursos a un cliente (antes de que el propio cliente los solicite) desde el servidor (conocido como HTTP/2 sever push), y la cantidad de cabeceras recibidas para dicho envío sobrepasa el límite máximo permitido (1000), libcurl aborta el envío desde el servidor. Al detenerlo, libcurl no libera por error todas las cabeceras previamente asignadas y en su lugar produce una fuga de memoria. Además, esta condición de error se produce de forma silenciosa y, por tanto, no es fácil de detectar por la aplicación. A esta vulnerabilidad se le ha asignado el identificador CVE-2024-2398.

El resto de las vulnerabilidades no altas, pueden consultarse en las referencias.