03 марта 2016

[уязвимость] В Schneider Electric Struxureware исправлена опасная уязвимость

Ошибка позволяла удаленно выполнить произвольные команды.

Для ПО Schneider Electric Struxureware было выпущено исправление безопасности, устраняющее опасную уязвимость в продукте. Ошибка существовала из-за использования слабого пароля по умолчанию и позволяла удаленному пользователю выполнить произвольные команды.

Уязвимость затрагивает Struxuware Application Server 1.7 и более ранних версий. Как сообщается в бюллетене ICS-CERT, эксплуатация уязвимостей не требует особых навыков и может быть осуществлена любым аутентифицированным пользователям.

image

Компания выпустила обращение к клиентам, где признала наличие уязвимости и порекомендовала как можно скорее установить исправление. В обновленной версии Struxuware Application Server использование паролей по умолчанию допускаться не будет.

Компания также исправила уязвимость, позволяющую администраторам обойти средства контроля доступа в Minimal Shell. Ошибка была обнаружена в декабре 2015 года исследователем безопасности Карном Ганешеном (Karn Ganeshen). Подробная информация об уязвимости в настоящее время неизвестна.

Источник