Мой основной блог blog.ZLONOV.ru (RSS-лента) | Форум: Кибербезопасность++ | Ссылка на Twitter: @zlonov | Telegram-канал: ZLONOV.ru

3 марта 2016 г.

[уязвимость] В Schneider Electric Struxureware исправлена опасная уязвимость

Ошибка позволяла удаленно выполнить произвольные команды.

Для ПО Schneider Electric Struxureware было выпущено исправление безопасности, устраняющее опасную уязвимость в продукте. Ошибка существовала из-за использования слабого пароля по умолчанию и позволяла удаленному пользователю выполнить произвольные команды.

Уязвимость затрагивает Struxuware Application Server 1.7 и более ранних версий. Как сообщается в бюллетене ICS-CERT, эксплуатация уязвимостей не требует особых навыков и может быть осуществлена любым аутентифицированным пользователям.

image

Компания выпустила обращение к клиентам, где признала наличие уязвимости и порекомендовала как можно скорее установить исправление. В обновленной версии Struxuware Application Server использование паролей по умолчанию допускаться не будет.

Компания также исправила уязвимость, позволяющую администраторам обойти средства контроля доступа в Minimal Shell. Ошибка была обнаружена в декабре 2015 года исследователем безопасности Карном Ганешеном (Karn Ganeshen). Подробная информация об уязвимости в настоящее время неизвестна.

Источник