PT-2014-53: Переполнение буфера в динамической памяти в Honeywell EPKS

(PT-2014-53) Positive Technologies Security Advisory
Переполнение буфера в динамической памяти в Honeywell EPKS

Уязвимое ПО

Honeywell EPKS
Версия: R311

Ссылка:
http://honeywell.com/

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Выполнение произвольного кода, отказ в обслуживании
Вектор атаки: Удаленный

CVSS v2:
Base Score: 7.6
Vector: (AV:N/AC:H/Au:N/C:C/I:C/A:C)

CVE: отсутствует

Описание программы

Honeywell Experion PKS - эффективная система управления и обеспечения безопасности, которая расширяет возможности распределенной системы управления. Experion представляет собой безопасную, надежную, масштабируемую, централизованную систему управления, обеспечивающую высокий уровень совместимости на всех этапах деятельности предприятия.

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Переполнение буфера в динамической памяти" в Honeywell EPKS.

Переполнение буфера в динамической памяти существует в модуле ripsd.exe в функции sec_GetContext() и позволяет злоумышленникам, действующим удаленно, выполнить произвольный код или вызвать отказ в обслуживании.

Решение

Установите последнюю версию программы

Статус уведомления

06.03.2014 - Производителю отправлены детали уязвимости
02.06.2014 - Производитель выпустил исправление
18.11.2014 - Публикация уязвимости

Благодарности

Уязвимость обнаружили Глеб Грицай и Александр Тляпов (Исследовательский центр Positive Research компании Positive Technologies)


Ссылки

http://www.securitylab.ru/lab/PT-2014-53

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. 
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.