Se
ha descubierto una vulnerabilidad de desbordamiento de búfer en el software
VAMPSET de Schneider Electric., qque se considera de Importancia: 2 - Baja . La
empresa ya ha publicado el parche que soluciona el problema.
Recursos
afectados
- VAMPSET v2.2.136 y anteriores
Detalle
e de Impacto de las vulnerabilidades
- El producto afectado se utiliza
para configurar y gestionar los relés de protección y vigilancia contra el
arco eléctrico. El producto se encuentra ampliamente extendido a nivel
mundial.
- El fallo de seguridad en
VAMPSET se produce cuando se trata de abrir un archivo de configuración
corrupto u otro tipo de archivo (del tipo disturbance recording files). La
vulnerabilidad provoca que el software VAMPSET se detenga mientras que el
sistema operativo (Windows) sigue funcionando con normalidad. Es necesario
reiniciar el proceso VAMPSET para restaurar la funcionalidad del software.
- La vulnerabilidad únicamente es
explotable a nivel local y no existe un exploit público conocido, por lo
que las posibilidades de de aprovechar el fallo no son demasiado altas.
Recomendación
- Schneider
Electric ha publicado una actualización para el software VAMPSET que puede
obtenerse en la página de descarga: http://www.schneider-electric.com/products/ww/en/2300-ied-user-software/2320-vamp-user-software/62050-vamp-software/
- La
empresa Schneider Electric recomienda a todos los clientes que instalen y
usen la versión v2.2.145 de VAMPSET o posterior.
Más información
- ICSA-14-254-01 - Schneider Electric VAMPSET
Buffer Overflow https://ics-cert.us-cert.gov/advisories/ICSA-14-254-01
- Schneider Electric. Vulnerability Disclosure
VAMPSET http://www.schneider-electric.com/products/ww/en/2300-ied-user-software/2320-vamp-user-software/62050-vamp-software/