Se ha descubierto una vulnerabilidad en VAMPSET de
Schneider Electric’s, reportada por Aivar Liimets de Martem AS (Sistemas de
Telecontrol). Esta vulnerabilidad permitiría a un atacante local provocar una
denegación de servicio.
VAMPSET es un
software de configuración especialmente utilizado en el sector energético, para
mantener y configurar relés de protección. Es un software aplicado en
protección de arco eléctrico, en sectores de protección y control de las redes
de distribución de energía.
Recursos
afectados
- Esta vulnerabilidad se ha reportado en la versión Schneider Electric VAMPSET 2.2.136 y anteriores.
- La vulnerabilidad, con identificador CVE-2014-5407, podría permitir a un atacante local aprovechar un error de desbordamiento de memoria intermedia basada en pila, para provocar una denegación de servicio (interrumpir la aplicación) al intentar abrir ficheros corruptos o especialmente manipulados.
- Se recomienda actualizar a VAMPSET v.2.2.145 o superior.
- Important Security Notification http://www.schneider-electric.com/download/ww/en/file/597771438-SEVD-2014-247-01-VAMPSET.pdf/?fileName=SEVD-2014-247-01-VAMPSET.pdf&reference=SEVD-2014-247-01&docType=Software---Updates
- Vulnerability Disclosure VAMPSET http://www.schneider-electric.com/download/ww/en/details/588069572-Vulnerability-Disclosure-VAMPSET/?showAsIframe=false&reference=SEVD-2014-247-01
- Vamp User Software http://www.schneider-electric.com/products/ww/en/2300-ied-user-software/2320-vamp-user-software/