CH azonosító
CH-7537Angol cím
Honeywell HMIWeb Browser Buffer Overflow VulnerabilityFelfedezés dátuma
2012.09.09.Súlyosság
KritikusÉrintett rendszerek
Building Solutions (HBS)Environmental Combustion and Control (ECC) SymmetrE
HMIWeb Browser
Honeywell
Process Solutions (HPS)
Érintett verziók
Honeywell Process Solutions (HPS) Experion Releases R400.x, R31x, R30x, and R2xx
Honeywell Building Solutions (HBS) Enterprise Building Manager
Honeywell Environmental Combustion and Control (ECC) SymmetrE R400, R410.1, and R410.1
Összefoglaló
Az összes Honeywell HMIWeb böngészőt érintő sérülékenységet jelentettek, amelyet kihasználva a nem hitelesített támadók tetszőleges kódot futtathatnak a sérülékeny rendszeren.
Leírás
A sérülékenységet Honeywell HMIWeb Browser HSCDSPRenderDLL ActiveX vezérlő puffer túlcsordulásos hibája okozza, amely lehetővé teszi egy nem hitelesített támadó számára, távolról tetszőleges kódot futtatni a sérülékeny rendszeren. A jelentés szerint a sérülékenység kihasználásához átlagos képesség elegendő.
Megoldás
Honeywell Process Solutions (HPS) and Honeywell Building Solutions (HBS) kiadta a sérülékenység javítására alkalmas frissítést, amely letölthető a www.honeywellprocess.com weboldalon keresztül.
További óvintézkedések:
- Ne használja a Station node-ot, az Internethez történő csatlakozásra, azért hogy a weben böngésszen.
- Amennyiben egy Station node csatlakozik az Internethez, úgy ne használja a Station-t vagy az Internet Explorer-t webböngészésre, vagy korlátozza ezek használatát csak a megbízható weboldalak elérésére.
További javaslatok a kockázatok csökkentésére:
- Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
- A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
- Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.us-cert.gov
SECUNIA 50572
CVE-2012-0254 - NVD CVE-2012-0254
Egyéb referencia: web.nvd.nist.gov