Новости компаний рынка безопасности / IDIS /
idisglobal
Бывалый
Сообщений: 65
Рейтинг:
16.01.2019 16:23:51
В конце 2018 года были обнаружены критические уязвимости в системе безопасности IP-видеокамер Bosch. Механизм действия уязвимости CVE-2018-19036 потенциально допускает несанкционированное удаленное выполнение кода на устройстве через сетевой интерфейс, генерируя переполнение буфера в парсере RCP+ и на веб-сервере. То есть, потенциальный злоумышленник, подключившись через сетевой доступ по протоколу HTTP или HTTPS, сможет вызвать переполнение буфера и затем обойти ограничения доступа, например логин и пароль пользователя, либо повторно активировать отключенные функции видеокамеры. Соответственно, это оценивается как уязвимость «CWE-120: буферное копирование без проверки размера входных данных». Это значит, что размер буфера меньше размера входного буфера, что приводит к переполнению буфера и потенциально может быть использовано для выполнения произвольного кода, обычно не охваченного предполагаемой политикой безопасности программы. Также переполнение буфера приводит к сбоям. Возможны и другие атаки, которые могут привести к недоступности, например ввод программы в бесконечный цикл.
"Компания IDIS рассматривает сетевую безопасность как серьезную проблему, поэтому большинство модулей сетевых служб являются проприетарными. Это именно тот случай, когда HTTP-сервер и клиентские модули, используемые в большинстве продуктов IDIS защищены от различных уязвимостей, включая уязвимость CWE-120. В частности, продукты IDIS используют динамическое распределение памяти и строго проверяют входные данные, такие как HTTP URI для предотвращения ошибки переполнения буфера, — комментирует руководитель службы технической поддержки IDIS Russia Юрий Цывинский. — Кроме того, уязвимость CVE-2018-19036 не распространяется на наши продукты, поскольку анализатор RCP + не используется в IDIS".
Читать новость полностью https://www.idisglobal.ru/news/item/idis-etwork-security-2019
Юрий Гедзберг
Старожил
Сообщений: 8650
Рейтинг:
16.01.2019 17:13:59
Компания IDIS рассматривает сетевую безопасность как серьезную проблему
Наверное, все-таки проблемой является опасность, а не безопасность.