Múltiples vulnerabilidades en productos Meinberg con LANTIME firmware
Todos los productos con firmware LANTIME, anteriores a V7.02.003 y a V6.24.028.
Este firmware es utilizado en productos LANTIME serie M, serie IMS y SyncFire.
El fabricante, Meinberg ha informado de nuevas versiones de su firmware LANTIME que corrigen múltiples vulnerabilidades en componentes integrados de terceros y que afectan a OpenSSL, sudo y también a su interfaz web LTOS-Web-Interface. Estas vulnerabilidades podrían permitir a un atacante alterar el cifrado en las comunicaciones, realizar una escalada de privilegios, inyectar comandos o ejecutar una vulnerabilidad de tipo Cross-Site-Scripting.
Se recomienda actualizar el firmware LANTIME a las versiones V7.02.003 y V6.24.028 disponibles en la web del fabricante.
Las vulnerabilidades solucionadas en el firmware LANTIME y que afectan a componentes integrados de terceros son las siguientes:
- OpenSSL: CVE-2021-3450, CVE-2021-23840, CVE-2021-23841 y CVE-2021-23840;
- sudo: CVE-2021-3156.
Meinberg también ha solucionado vulnerabilidades que afectan a su interfaz web y que permitirían a un atacante realizar ataques de inyección de comandos o de tipo Cross-Site-Scripting, estas vulnerabilidades se producen debido a la falta de validación de entrada de algunos campos en la interfaz web SyncMon. No se ha reservado ningún identificador CVE para estas vulnerabilidades.
