A CitectSCADA és Mitsubishi MX4 SCADA batch server puffer túlcsordulásos sárülékenység

CH azonosító

CH-5954

Angol cím

CITECTSCADA AND MITSUBISHI MX4 SCADA BATCH SERVER BUFFER OVERFLOW

Felfedezés dátuma

2011.11.13.

Súlyosság

Kritikus

Érintett rendszerek

CitectSCADA
MX4 SCADA
Mitsubishi
Schneider Electric

Érintett verziók

Schneider Electric CitectSCADA 7.x
Mitsubishi MX4 SCADA 7.x

Összefoglaló

A Mitsubishi MX4 Supervisory Control and Data Acquisition (SCADA) és a Schneider Electric CitectSCADA olyan sérülékenységét jelentették, amelyet a támadók kihasználhatnak tetszőleges kód futtatására a sérülékeny rendszeren.

Leírás

A sérülékenységet a CitectSCADA és az MX4 SCADA Batch termékek által használt harmadik féltől származó komponens puffer túlcsordulási hibája okozza.
A hiba a normál bejelentkezési művelet folyamán lép fel, ha a felhasználó a szervernek túlságosan hosszú karaktersorozatot küld el.

Ennek a sérülékenységnek a sikeres kihasználása tetszőleges kód futtatását teszi lehetővé azokon a rendszereken, amelyeken az érintett termékek sérülékeny verziója fut.

Megoldás

A Schneider Electric kiadott egy javítást erre a sérülékenységre.
A Schneider Electric a Mitsubishi MX4 SCADA felhasználóknak is biztosít javító csomagot.

Továbbá a Schneider Electric azt ajánlja ügyfeleinek, hogy futassák le a CitectSCADA Batch Uninstaller -t, a Batch komponens eltávolítására. Ez elérhető az alábbi hivatkozáson:

http://www.citect.com/citectscada-batch

A Mitsubishi azt javasolja azoknak az ügyfeleknek, akiknél az MX4SCADA van telepítve, de nem használják az MX4Batch modult (CitectSCADA Batch engine), hogy távolítsák el azt. Ez elérhető az alábbi hivatkozáson:

http://www.citect.com/citectscada-batch-uninstaller

Azok az ügyfelek, akik használják az MX4 Batch -et, lépjenek kapcsolatba a helyi Mitsubishi Electric Europe B.V. képviselővel a Batch platform frissítése miatt vagy egy nem-PC-alapú batch rendszerre (például: Mitsubishi Electric Europe B.V.’s C Batch) váltás miatt.