Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 892
- Реакции
- 3
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
В системе SCADA/HMI для мониторинга и управления производственными процессами и автоматизации зданий Reliance 4 SCADA/HMI от чешской компании GEOVAPисправленаопасная уязвимость. С ее помощью неавторизованный атакующий может внедрить произвольный код.
Через уязвимость (CVE-2018-17904) неавторизованный злоумышленник может с помощью HTTP-прокси внедрить произвольный Javascript-код в особым образом сконфигурированный HTTP-запрос, который отразит его обратно в HTTP-ответе.
По системе оценивания опасности CVSS v3 уязвимость получила 6,5 балла из максимальных десяти. Проэксплуатировать ее можно удаленно и без каких-либо особых навыков.
Проблема была обнаружена исследователем безопасности Исмаилом Мертом (Ismail Mert) и затрагивает версию Reliance SCADA 4.7.3 Update 3 и более ранние. Производитель выпустил исправление с выходом версии 4.8.0. Пользователям настоятельно рекомендуется установить актуальную версию продукта (загрузить можноотсюда).
GEOVAP также рекомендует переключить приложение на HTTPS с целью предотвратить манипуляции с HTTP-сообщениями в HTTP-прокси. Таким образом можно обезопасить себя от эксплуатации уязвимости даже при использовании уязвимых версий Reliance SCADA.
Через уязвимость (CVE-2018-17904) неавторизованный злоумышленник может с помощью HTTP-прокси внедрить произвольный Javascript-код в особым образом сконфигурированный HTTP-запрос, который отразит его обратно в HTTP-ответе.
По системе оценивания опасности CVSS v3 уязвимость получила 6,5 балла из максимальных десяти. Проэксплуатировать ее можно удаленно и без каких-либо особых навыков.
Проблема была обнаружена исследователем безопасности Исмаилом Мертом (Ismail Mert) и затрагивает версию Reliance SCADA 4.7.3 Update 3 и более ранние. Производитель выпустил исправление с выходом версии 4.8.0. Пользователям настоятельно рекомендуется установить актуальную версию продукта (загрузить можноотсюда).
GEOVAP также рекомендует переключить приложение на HTTPS с целью предотвратить манипуляции с HTTP-сообщениями в HTTP-прокси. Таким образом можно обезопасить себя от эксплуатации уязвимости даже при использовании уязвимых версий Reliance SCADA.
