sábado, 20 de septiembre de 2014

Denegación de servicio en Schneider Electric’s VAMPSET software

Se ha descubierto una vulnerabilidad en VAMPSET de Schneider Electric’s, reportada por Aivar Liimets de Martem AS (Sistemas de Telecontrol). Esta vulnerabilidad permitiría a un atacante local provocar una denegación de servicio.

VAMPSET es un software de configuración especialmente utilizado en el sector energético, para mantener y configurar relés de protección. Es un software aplicado en protección de arco eléctrico, en sectores de protección y control de las redes de distribución de energía.

La vulnerabilidad, con identificador CVE-2014-5407, podría permitir a un atacante local aprovechar un error de desbordamiento de memoria intermedia basada en pila, para provocar una denegación de servicio (interrumpir la aplicación) al intentar abrir ficheros corruptos o especialmente manipulados.

Esta vulnerabilidad se ha reportado en la versión Schneider Electric VAMPSET 2.2.136 y anteriores.

Se recomienda actualizar a VAMPSET v.2.2.145 o superior.

Más información:

Important Security Notification
http://www.schneider-electric.com/download/ww/en/file/597771438-SEVD-2014-247-01-VAMPSET.pdf/?fileName=SEVD-2014-247-01-VAMPSET.pdf&reference=SEVD-2014-247-01&docType=Software---Updates

Vulnerability Disclosure VAMPSET
http://www.schneider-electric.com/download/ww/en/details/588069572-Vulnerability-Disclosure-VAMPSET/?showAsIframe=false&reference=SEVD-2014-247-01

Vamp User Software
http://www.schneider-electric.com/products/ww/en/2300-ied-user-software/2320-vamp-user-software/



Juan Sánchez
jasanchez@hispasec.com

Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017