Переполнение буфера в продуктах Invensys

Дата публикации:
03.04.2012
Дата изменения:
03.04.2012
Всего просмотров:
704
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID:
CVE-2012-0257
CVE-2012-0258
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Invensys ArchestrA Object Toolkit 3.x
Invensys Foxboro Control Software 3.x
Invensys InFusion Control Edition 2.x
Invensys InFusion Foundation Edition 2.x
Invensys InFusion SCADA 2.x
Invensys Wonderware Application Server 3.x
Invensys Wonderware InTouch 10.x
Invensys Wonderware WWCabFile ActiveX Control
Wonderware Information Server 4.x
Уязвимые версии:
Wonderware Application Server 2012 и более ранние версии.
Invensys Foxboro Control Software 3.1 и более ранние версии.
Invensys InFusion Control Edition 2.5 и более ранние версии.
Invensys InFusion Foundation Edition 2.5 и более ранние версии.
Invensys InFusion SCADA 2.5 и более ранние версии.
Invensys Wonderware Information Server 4.5 и более ранние версии.
Invensys ArchestrA Application Object Toolkit 3.2 и более ранние версии.
Invensys Wonderware InTouch версий 10.0 - 10.5. Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в WWCabFile ActiveX (WWCabFile.dll) при обработке метода Open(). Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки в WWCabFile ActiveX control (WWCabFile.dll) при обработке метода AddFile(). Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

URL производителя: http://us.wonderware.com/

Решение: Для устранения уязвимости установите исправления c сайта производителя.

Ссылки: http://www.us-cert.gov/control_systems/pdf/ICSA-12-081-01.pdf
https://wdnresource.wonderware.com/support/docs/_SecurityBulletins/Security_Bulletin_LFSEC00000071.pdf

или введите имя

CAPTCHA