Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en System Data Manager de Hitachi Energy

Fecha de publicación 27/04/2022
Importancia
4 - Alta
Recursos Afectados

System Data Manager SDM600, versiones anteriores a 1.2 FP2 HF10 (Build Nr. 1.2.14002.506).

Descripción

El fabricante ha reportado 7 vulnerabilidades: 6 de severidad alta y 1 baja. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante espiar el tráfico o causar una condición de denegación de servicio.

Solución

Actualizar System Data Manager SDM600 a la versión 1.2 FP2 HF10 (Build Nr. 1.2.14002.506).

Detalle

Las vulnerabilidades de severidad alta se describen a continuación:

  • En las versiones afectadas de OpenLDAP los filtros de búsqueda LDAP con expresiones booleanas anidadas podrían dar lugar a una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-12243 para esta vulnerabilidad.
  • Un fallo en las versiones afectadas del servidor slapd, de OpenLDAP, podría causar un fallo de aserción al procesar un paquete malicioso, lo que podría generar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-25709 para esta vulnerabilidad.
  • Un fallo en las versiones afectadas de OpenLDAP podría permitir a un atacante, que envía un paquete malicioso procesado por OpenLDAP, forzar una aserción fallida en la función csnNormalize23(). Esto podría llevar a una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-25710 para esta vulnerabilidad.
  • Un fallo en las versiones afectadas de OpenLDAP podría permitir a un atacante, que envía un paquete malicioso procesado por OpenLDAP, forzar una aserción fallida en la función csnNormalize23(), lo que podría generar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-36229 para esta vulnerabilidad.
  • Se ha descubierto una vulnerabilidad en las versiones de OpenLDAP afectadas, que provoca un fallo de aserción en slapd en el análisis de DN X.509 en decode.c ber_next_element, lo que podría provocar una condición de denegación de servicio. Se ha asignado el identificador CVE-2020-36230 para esta vulnerabilidad.
  • Un fallo en las versiones afectadas de OpenSSL podría causar que las llamadas a EVP_CipherUpdate, EVP_EncryptUpdate y EVP_DecryptUpdate desborden el argumento de la longitud de salida en algunos casos, en los que la longitud de entrada esté cerca de la longitud máxima permitida para un entero en la plataforma. Esta situación podría llevar a las aplicaciones a comportarse de forma incorrecta. Se ha asignado el identificador CVE-2021-23840 para esta vulnerabilidad.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2020-1968.

Encuesta valoración