Дата публикации: | 28.02.2009 |
Всего просмотров: | 3326 |
Опасность: | Низкая |
Наличие исправления: | Нет |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Локальная сеть |
Воздействие: |
Раскрытие важных данных Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Proficy HMI/SCADA iFIX 5.x |
Уязвимые версии: Proficy HMI/SCADA iFIX 5.x
Описание: 1. Уязвимость существует из-за того, что приложение хранит личные данные пользователей, используя нестойкий алгоритм шифрования, в файле на системе клиента. Злоумышленник может расшифровать файл и получить доступ к имени пользователя и паролю. 2. Уязвимость существует из-за того, что аутентификация пользователя осуществляется в контексте текущего аутентифицированного пользователя. Злоумышленник может обойти механизм аутентификации и получить неавторизованный доступ к приложению. 3. Злоумышленник может с помощью функционала Autoplay обойти Environment Protection путем подключения внешнего носителя данных с файлом автоматического запуска. URL производителя: www.gefanuc.com/products/3311 Решение: Способов устранения уязвимости не существует в настоящее время. |
|
Ссылки: |
http://support.gefanuc.com/support/index?page=kbchannel&id=S:KB13253&actp=search http://www.kb.cert.org/vuls/id/310355 http://www.mcgrewsecurity.com/2009/02/10/ge-fanuc-releases-info-on-ifix-vulnerabilities-vu-310355/ |