Un
investigador anónimo, en colaboración con Zero Day Initiative de HP, ha
identificado una vulnerabilidad de desbordamiento de enteros en aplicación
Trihedral Engineering Ltd’s VTScada y se ha catalogado de Importancia: 4 -
Alta.
Además
ya se ha liberado un parche que soluciona esta vulnerabilidad.
Recursos
afectados
Las
siguientes versiones de VTS y VTScada se ven afectadas:
1) VTS Version 6.5 hasta 9.1.19
2) VTS Version 10 hasta 10.2.21
3) VTScada Version 11.0 hasta 11.1.07
Detalle
e Impacto de las vulnerabilidad
·
Mediante
el envío de paquetes especialmente mal formados, un atacante sin credenciales
podría explotar esta vulnerabilidad de desbordamiento de entero que provocaría
un intento de reservar un bloque de memoria excesivamente grande, generando un
fallo en el servidor VTScada.
·
Se
ha reservado el identificador CVE-2014-9192 para esta vulnerabilidad.
Recomendación
·
Triedro
Engineering Ltd. ha liberado tres versiones actualizadas del software que
corrigen dichas vulnerabilidades y se encuentran disponibles desde ftp://ftp.trihedral.com/VTS
Más
información
·
Trihedral
VTScada Integer Overflow Vulnerability https://ics-cert.us-cert.gov/advisories/ICSA-14-343-02
Fuente:
INCIBE