Множественные уязвимости в Proficy HMI/SCADA iFIX
| Дата публикации: | 28.02.2009 |
| Всего просмотров: | 3326 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Локальная сеть |
| Воздействие: |
Раскрытие важных данных Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Proficy HMI/SCADA iFIX 5.x |
| Уязвимые версии: Proficy HMI/SCADA iFIX 5.x
Описание: 1. Уязвимость существует из-за того, что приложение хранит личные данные пользователей, используя нестойкий алгоритм шифрования, в файле на системе клиента. Злоумышленник может расшифровать файл и получить доступ к имени пользователя и паролю. 2. Уязвимость существует из-за того, что аутентификация пользователя осуществляется в контексте текущего аутентифицированного пользователя. Злоумышленник может обойти механизм аутентификации и получить неавторизованный доступ к приложению. 3. Злоумышленник может с помощью функционала Autoplay обойти Environment Protection путем подключения внешнего носителя данных с файлом автоматического запуска. URL производителя: www.gefanuc.com/products/3311 Решение: Способов устранения уязвимости не существует в настоящее время. |
|
| Ссылки: |
http://support.gefanuc.com/support/index?page=kbchannel&id=S:KB13253&actp=search http://www.kb.cert.org/vuls/id/310355 http://www.mcgrewsecurity.com/2009/02/10/ge-fanuc-releases-info-on-ifix-vulnerabilities-vu-310355/ |