1 de octubre de 2014

SCHNEIDER ELECTRIC’S VAMPSET SOFTWARE . Denegación de servicio

Se ha descubierto una vulnerabilidad en VAMPSET de Schneider Electric’s, reportada por Aivar Liimets de Martem AS (Sistemas de Telecontrol). Esta vulnerabilidad permitiría a un atacante local provocar una denegación de servicio.
 VAMPSET es un software de configuración especialmente utilizado en el sector energético, para mantener y configurar relés de protección. Es un software aplicado en protección de arco eléctrico, en sectores de protección y control de las redes de distribución de energía.
Recursos afectados
  • Esta vulnerabilidad se ha reportado en la versión Schneider Electric VAMPSET 2.2.136 y anteriores.
Detalle e Impacto de las vulnerabilidad
  • La vulnerabilidad, con identificador CVE-2014-5407, podría permitir a un atacante local aprovechar un error de desbordamiento de memoria intermedia basada en pila, para provocar una denegación de servicio (interrumpir la aplicación) al intentar abrir ficheros corruptos o especialmente manipulados.
Recomendación
  • Se recomienda actualizar a VAMPSET v.2.2.145 o superior.
Más información:
Fuente: Hispasec