Duas novas vulnerabilidades na libtpms e gpsd podem comprometer a segurança de sistemas embarcados e servidores. A falha na libtpms afeta a criptografia, enquanto a do gpsd permite escrita fora do ...
Duas novas vulnerabilidades na libtpms e gpsd podem comprometer a segurança de sistemas embarcados e servidores. A falha na libtpms afeta a criptografia, enquanto a do gpsd permite escrita fora do limite. É essencial agir rapidamente para mitigar riscos.
A falha foi registrada na libtpms até a versão 0.10.1 e se relaciona a um uso de criptografia considerado arriscado quando combinado com o OpenSSL 3.x. Na prática, isso pode significar que dados que deveriam estar bem protegidos podem não receber o nível de segurança esperado, dependendo de como o sistema usa a biblioteca.
O ponto positivo: o problema é limitado à execução local, ou seja, normalmente exige acesso ao próprio equipamento. Ainda assim, esse cenário é relevante em servidores com múltiplos usuários, ambientes de desenvolvimento, acesso remoto mal administrado ou máquinas comprometidas por outro motivo.
A segunda vulnerabilidade afeta o gpsd do ntpsec em versões anteriores à 3.27.1. Ela permite uma escrita fora do limite em uma rotina relacionada a um driver específico. Em termos simples, o software pode gravar dados “no lugar errado” da memória, abrindo espaço para travamentos e, em alguns casos, efeitos mais graves.
A exploração depende de acesso pela rede local, o que costuma ocorrer em ambientes industriais, laboratórios, redes internas de empresas e integrações com equipamentos que fornecem dados NMEA2000.
Atualize a libtpms para uma versão corrigida e leve o gpsd/ntpsec para 3.27.1 ou superior. Além disso, restrinja acessos locais e à rede interna com senhas fortes, segmentação e revisão de permissões.
No geral, essas correções são rápidas e reduzem risco antes que o problema vire incidente.
A falha pode comprometer a segurança dos dados criptografados, especialmente em ambientes com múltiplos usuários ou acesso remoto mal administrado.
Verifique a versão da libtpms e do gpsd em uso. Se estiver em uma versão anterior à 3.27.1 para gpsd ou 0.10.1 para libtpms, seu sistema pode estar vulnerável.
Não, é altamente recomendável atualizar para as versões corrigidas o mais rápido possível para mitigar os riscos.
Conheça os serviços da LC SEC, como Pentest, Threat Intelligence com IA, e Auditoria Interna, para proteger sua infraestrutura contra vulnerabilidades.