Множественные уязвимости в Proficy HMI/SCADA iFIX

Дата публикации:
28.02.2009
Дата изменения:
28.02.2009
Всего просмотров:
2906
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная сеть
Воздействие:
Раскрытие важных данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Proficy HMI/SCADA iFIX 5.x
Уязвимые версии: Proficy HMI/SCADA iFIX 5.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и получить доступ к важным данным.

1. Уязвимость существует из-за того, что приложение хранит личные данные пользователей, используя нестойкий алгоритм шифрования, в файле на системе клиента. Злоумышленник может расшифровать файл и получить доступ к имени пользователя и паролю.

2. Уязвимость существует из-за того, что аутентификация пользователя осуществляется в контексте текущего аутентифицированного пользователя. Злоумышленник может обойти механизм аутентификации и получить неавторизованный доступ к приложению.

3. Злоумышленник может с помощью функционала Autoplay обойти Environment Protection путем подключения внешнего носителя данных с файлом автоматического запуска.

URL производителя: www.gefanuc.com/products/3311

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://support.gefanuc.com/support/index?page=kbchannel&id=S:KB13253&actp=search
http://www.kb.cert.org/vuls/id/310355
http://www.mcgrewsecurity.com/2009/02/10/ge-fanuc-releases-info-on-ifix-vulnerabilities-vu-310355/

или введите имя

CAPTCHA