远程桌面服务远程代码执行漏洞在博世力士乐工业pc
raybet雷竞技ios下载博世- sa - 856281
咨询信息
- 咨询ID:raybet雷竞技ios下载博世- sa - 856281
- CVE编号和CVSS v3.1分数:
- cve - 2019 - 0708
- 基础分数:9.8(关键)
- cve - 2019 - 0708
- 发表:2020年10月13日
- 最后更新:2020年10月13日
总结
微软已经发布的信息[1]几个版本的Microsoft Windows XP, Microsoft Windows XP嵌入式,微软Windows 7和微软Windows 7嵌入标准,关于远程桌面服务的漏洞。漏洞可能允许一个未经身份验证的远程攻击者在目标系统上执行任意代码如果系统暴露的服务网络。
博世力士乐工业pc在这些操作系统受到这种脆弱性的影响。
受影响的产品
- 博世力士乐VEP15.6
- 博世力士乐VEP21.6
- 博世力士乐VEP30.5
- 博世力士乐VEP40.5
- 博世力士乐VEP50.5
- 博世力士乐VPB40.3
- 博世力士乐VPB40.4
- 博世力士乐VPP16
- 博世力士乐VPP40
- 博世力士乐VPP60
解决方案和移植
软件更新
微软已经发布了补丁关闭此漏洞[2],[3]。建议适当的操作系统的补丁应及时安装,如果可能的话。
补偿措施
在使用情况下,设备更新是不可能或没有可用的,补偿措施建议,防止或者至少使利用漏洞。总是单独定义这些补偿措施,操作的上下文环境。一些可能的措施中所描述的“安全手册电子传动与控制”,例如网络分割(请参见[4])。一般来说,强烈建议实施措施中所描述的“安全手册驱动器和控制”。
漏洞细节
cve - 2019 - 0708
这个漏洞是pre-authentication并且不需要用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可以安装程序;查看、更改或删除数据;或创建新帐户与完整的用户权利。
CVE描述:一个远程代码执行漏洞存在于原名终端服务远程桌面服务当一个未经身份验证的攻击者使用RDP连接到目标系统和发送特别制作的请求,又名“远程桌面服务远程代码执行漏洞”。
- 问题类型:
- CVSS向量字符串:CVSS: 3.1 / AV: N /交流:L /公关:UI: N / N / S: U / C: H /我:H: H / RL: O / RC: C
- 基础分数:9.8(关键)
- 时间分数:9.4(关键)
备注
脆弱性分类进行使用CVSS v3.1评分系统。CVSS环境得分是特定于每个客户的环境,应该定义为客户达到最终得分。
额外的资源
- [1]微软cve - 2019 - 0708咨询:https://portal.msrc.microsoft.com/en - us/security guidance/advisory/cve - 2019 - 0708
- [2]微软更新目录KB4500331 Windows XP:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331%20Windows%20XP
- [3]微软更新目录KB4499175:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175
- [4]博raybet雷竞技ios下载世力士乐安全手册电子传动与控制(德国):https://www.raybet雷竞技ios下载boschrexroth.com/various/utilities/mediadirectory/download/index.jsp?object_nr=R911342561
请联系博世PSIRT如果你有反馈,评论raybet雷竞技ios下载,或额外的信息关于这个漏洞:psirt@raybet雷竞技ios下载bosch.com。
修订历史
- 2020年10月13日:首次出版