Fecha de publicación: 23/03/2021

Importancia:Alta

Recursos afectados:

• TruControl, versiones desde la 2.14.0 hasta la 3.14.0, de los siguientes productos:
  • TruPulse,
  • TruDisk,
  • TruDiode,
  • TruFiber,
  • TruMicro2000,
  • TruMicro5000,
  • TruMicro6000,
  • TruMicro7000,
  • TruMicro8000,
  • TruMicro9000,
  • redpowerDirect.

Descripción:

Qualys Research Labs ha reportado al fabricante TRUMPF Laser GmbH una vulnerabilidad de escritura fuera de límites que afecta a múltiples dispositivos. El fabricante, a su vez, ha notificado esta vulnerabilidad al CERT@VDE.

Solución:

• Actualizar TruControl a la versión 3.16.0 o posteriores;
• contactar con su socio de servicio (service.tls@trumpf.com) para obtener instrucciones sobre cómo obtener el parche.

Detalle:

Una vulnerabilidad de desbordamiento de búfer basado en Heap, presente en sudo, podría permitir la escalada de privilegios a root a través de "sudoedit -s" y un argumento de línea de comandos que termina con un solo carácter de barra invertida. Un usuario autenticado podría explotar esta vulnerabilidad provocando pérdida de datos en el control del láser, parada de la producción o daños por cambio del control del láser. Se ha asignado el identificador CVE-2021-3156 para esta vulnerabilidad ya publicada en INCIBE-CERT.

Etiquetas:Actualización, Infraestructuras críticas, Vulnerabilidad