Múltiples vulnerabilidades en Automation Runtime de B&R Automation
Fecha de publicación 04/06/2021
Importancia
4 - Alta
Recursos Afectados
Automation Runtime (AR), versión 4.8 y anteriores.
Descripción
B&R Automation ha publicado 73 vulnerabilidades, de severidades baja, media y alta, que afectan al servicio NTP.
Solución
Actualizar AR a la versión 4.9 o superiores. En caso de no poder actualizar, aplicar las medidas descritas en la sección Workarounds and Mitigations del aviso de B&R.
Detalle
Automation Runtime (AR) cuenta con un servicio NTP basado en ntpd, una implementación de referencia del Network Time Protocol (NTP). Las versiones de AR afectadas incluyen una versión obsoleta de ntpd que está afectada por un gran número de vulnerabilidades:
- denegación de servicio,
- vulneración de la protección criptográfica,
- ejecución de código arbitrario,
- desbordamiento de búfer,
- error de autenticación,
- sobreescritura en archivos arbitrarios,
- omisión de autenticación,
- man-in-the-middle,
- suplantación,
- IP spoofing,
- referencia fuera de límites,
- escritura fuera de límites,
- escalada de privilegios,
- desreferencia a puntero nulo.
El listado completo de identificadores CVE puede consultarse en el Appendix A del aviso de B&R.
Listado de referencias
Etiquetas