Schneider Electric исправила опасную уязвимость в своих продуктах
Брешь позволяла злоумышленнику скомпрометировать систему.
Несколько программных решений компании Schneider Electric оказались подвержены серьезной уязвимости, позволяющей удаленному пользователю выполнить произвольный код. Как сообщается в бюллетене безопасности производителя, брешь существует из-за ошибки в одной из библиотек, поставляемых в наборе разработки Device Type Manager (DTM). Проэксплуатировав ее, удаленный пользователь может вызвать переполнение стека и скомпрометировать систему.
Уязвимости подвержены следующие библиотеки DTM: Modbus Communication Library 2.2.6 и более ранние версии, CANOpen Communication Library 1.0.2 и более ранние версии, EtherNet/IP Communication Library 1.0.0 и более ранние версии, EM X80 Gateway DTM (MB TCP/SL), DTM Advantys (OTB, STB), KINOS, SOLO и Xantrex. Эти DTM используются в программных продуктах SoMove, SoMove Lite, Unity Pro и SoMachine.
По данным бюллетеня ICS-CERT, уязвимости был присвоен идентификатор CVE-2014-9200. Ее достаточно легко проэксплуатировать, но в настоящее время рабочего эксплоита не существует.
Schneider Electric выпустила исправление, устраняющее данную брешь. Оно заменяет уязвимый DLL-файл на его корректную версию.
Детальная информация об уязвимости доступна здесь .
Ваша приватность умирает красиво, но мы можем спасти её.