Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Haavoittuvuuksia Mirasys VMS videohallintaratkaisussa

Haavoittuvuus13/2019

Mirasys VMS -videonhallintaratkaisusovelluksesta on löytynyt kolme haavoittuvuutta. Haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi saada käsiinsä luottamuksellisia tietoja tai suorittaa haitallista ohjelmakoodia kohdejärjestelmässä. Mirasys on julkaissut VMS-ohjelmistosta uuden version, joka korjaa haavoittuvuudet.

Mirasys VMS on avoimen alustan laiteriippumaton ja skaalautuva videonhallintaratkaisu erilaisiin ympäristöihin. Pyydä tarkempia ohjeita päivittämiseen liittyen valmistajalta.

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuksien löytäjän ja valmistajan kanssa. Haavoittuvuudet löysi itävaltalainen tietoturvatutkija Joachim Kerschbaumer. Kyberturvallisuuskeskus kiittää haavoittuvuuksien löytäjää ja valmistajaa yhteistyöstä.

Kohde

  • Sulautetut järjestelmät
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

  • Mirasys VMS - V8.3.1 ja aiemmat versiot, V7.6.0 ja aiemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet

  • Päivitä ohjelmisto valmistajan ohjeiden mukaisesti
    • Mirasys VMS V8.3.2 korjaa kaksi kolmesta haavoittuvuudesta
    • Mirasys VMS V8.3.3 korjaa kaikki kolme haavoittuvuutta
    • Mirasys VMS V7.6.1 korjaa kaikki kolme haavoittuvuutta. 

Lisätietoja

https://mirasys.com (Ulkoinen linkki)

CVE-2019-11029 (Ulkoinen linkki)
CVE-2019-11030 (Ulkoinen linkki)
CVE-2019-11031 (Ulkoinen linkki)

Kyberturvallisuuskeskuksen haavoittuvuuskoordinoinnin tavoittaa seuraavasti:
Sähköposti: vulncoord@ficora.fi
Mainitkaa tapausnumero [FICORA #1086008] viestin otsikossa.

Lisätietoja haavoittuvuuskoordinaatiosta löydät sivuiltamme:
https://www.kyberturvallisuuskeskus.fi/fi/palvelumme/tilannekuva-ja-verkostojohtaminen (Ulkoinen linkki)

Lisätty tietoja korjatuista versioista.