Érintett rendszerek
General Electric (GE)Proficy Real-Time Information Portal
Érintett verziók
GE Fanuc Automation Proficy Real-Time Information Portal 2.x
Összefoglaló
Proficy Real-Time Information Portal-ban egy sérülékenységet jelentettek, melyet rosszindulatú felhasználók a sérült rendszer feltörésére használhatnak ki.
Leírás
Proficy Real-Time Information Portal-ban egy sérülékenységet jelentettek, melyet rosszindulatú felhasználók a sérült rendszer feltörésére használhatnak ki.
A sérülékenységet egy hiba okozza az “Add WebSource”-ben, mikor a fájlok feltöltésének kezelése történik. Ezt kihasználva például feltölthetőek rosszindulatú script fájlok a web szerverre.
A sérülékenységet a 2.6-os verzóban jelentették. Más rendszerek is érintettek lehetnek.
Megoldás
A GE Fanuc 2008. február 15-ével fog kiadni egy SIM-et (Software Improvement Module), ami bezárja ezt a biztonsági rést.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: support.gefanuc.com
US-CERT 339345
SECUNIA 28678
CVE-2008-0175 - NVD CVE-2008-0175
Egyéb referencia: archives.neohapsis.com