咨询信息

• 咨询ID:raybet雷竞技ios下载博世- 2019 - 0201
• 发表:2019年2月18日
• 最后更新:2019年2月18日
• CVSSv3基础分数:
  • cwe - 306:失踪的关键函数的身份验证
    • CVSS 3.0: 9.8,CVSS: 3.0 / AV: N /交流:L /公关:UI: N / N / S: U / C: H /我:H: H
  • cwe - 99:不适当控制的资源标识符(“资源注入”)

总结

博世力士raybet雷竞技ios下载乐工程和操作软件IndraWorks提供WinStudio可视化应用程序的开发。从网络InduSoft WinStudio包括技术工作室。在02/04/2019 AVEVA软件,LLC。(“AVEVA”),供应商InduSoft网络工作室,发布安全公告[1]与关键信息安全漏洞在网络工作室。这个漏洞也会影响所有的项目创建WinStudio版本7.4 SP1和前15 v02 IndraWorks版本。

受影响的产品

• 所有的项目创建WinStudio版本7.4 SP1
• 所有的项目创建前15 v02 IndraWorks版本

解决方案

对于现有项目,对用例的一个更新是不可能的,以及在过渡阶段,推荐以下措施之一。根据选定的测量,安全漏洞是固定和利用脆弱性是复杂的。

• 禁用TCP / IP服务器。脆弱性是固定的。注意:服务器已经禁用后,再也不可能建立一个通过网络连接瘦客户机或通过安全的观众!
• 禁用1234 (TCP)或51234 (TCP)港口:合适的措施的基础设施可以限制访问港口设备的影响。这一措施使利用漏洞。警告:根据实现,也许不可能了通过网络建立连接瘦客户机或通过安全的观众。

此外,它是强烈建议实施措施,所描述的raybet雷竞技ios下载博世力士乐安全手册,例如网络分割。

请参阅[1]进一步关于脆弱的附加信息。

漏洞细节

未经过身份验证的远程用户可以使用专门的数据库连接配置文件来执行任意服务器机器上的进程。的代码将被执行的权限下InduSoft Web工作室或InTouchEdge HMI运行时,可能会导致一个妥协的InduSoft Web工作室或InTouch边缘HMI服务器机器。

• cwe - 306:失踪的关键函数的身份验证
  • CVSS 3.0: 9.8,CVSS: 3.0 / AV: N /交流:L /公关:UI: N / N / S: U / C: H /我:H: H
• cwe - 99:不适当控制的资源标识符(“资源注入”)

脆弱性分类进行使用CVSSv3评分系统。CVSS环境得分是特定于每个客户的环境,应该定义为客户达到最终得分。

额外的资源

[1](pdf)AVEVA安全公告LFSEC00000133
[2](pdf)重要的产品信息为博世力士乐IndraWorks操作(WinStudiraybet雷竞技ios下载o)
[3]请联系博世PSIRT如果你有反馈,评论,raybet雷竞技ios下载或额外的信息关于这个漏洞:psirt@raybet雷竞技ios下载bosch.com

修订历史

2019年2月18日:首次出版