Haavoittuvuuksia Mirasys VMS videohallintaratkaisussa
Haavoittuvuus13/2019
Mirasys VMS -videonhallintaratkaisusovelluksesta on löytynyt kolme haavoittuvuutta. Haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi saada käsiinsä luottamuksellisia tietoja tai suorittaa haitallista ohjelmakoodia kohdejärjestelmässä. Mirasys on julkaissut VMS-ohjelmistosta uuden version, joka korjaa haavoittuvuudet.
Mirasys VMS on avoimen alustan laiteriippumaton ja skaalautuva videonhallintaratkaisu erilaisiin ympäristöihin. Pyydä tarkempia ohjeita päivittämiseen liittyen valmistajalta.
Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuksien löytäjän ja valmistajan kanssa. Haavoittuvuudet löysi itävaltalainen tietoturvatutkija Joachim Kerschbaumer. Kyberturvallisuuskeskus kiittää haavoittuvuuksien löytäjää ja valmistajaa yhteistyöstä.
Kohde
- Sulautetut järjestelmät
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
- Mirasys VMS - V8.3.1 ja aiemmat versiot, V7.6.0 ja aiemmat versiot
Mistä on kysymys?
- Päivitä ohjelmisto valmistajan ohjeiden mukaisesti
- Mirasys VMS V8.3.2 korjaa kaksi kolmesta haavoittuvuudesta
- Mirasys VMS V8.3.3 korjaa kaikki kolme haavoittuvuutta
- Mirasys VMS V7.6.1 korjaa kaikki kolme haavoittuvuutta.
Mitä voin tehdä?
https://mirasys.com (Ulkoinen linkki)
CVE-2019-11029 (Ulkoinen linkki)
CVE-2019-11030 (Ulkoinen linkki)
CVE-2019-11031 (Ulkoinen linkki)
Kyberturvallisuuskeskuksen haavoittuvuuskoordinoinnin tavoittaa seuraavasti:
Sähköposti: vulncoord@ficora.fi
Mainitkaa tapausnumero [FICORA #1086008] viestin otsikossa.
Lisätietoja haavoittuvuuskoordinaatiosta löydät sivuiltamme:
https://www.kyberturvallisuuskeskus.fi/fi/palvelumme/tilannekuva-ja-verkostojohtaminen (Ulkoinen linkki)
Lisätty tietoja korjatuista versioista.