Emerson OpenEnterprise SCADA | 多个清静误差通告

宣布时间 2020-05-29

0x00 误差概述


产品

CVE ID

类 型

误差品级

远程使用

影响规模

Emerson OpenEnterprise SCADA

CVE-2020-6970

BO

严重

Emerson OpenEnterprise SCADA Server 3.1-3.3.3,2.83版本

CVE-2020-10640

MA

严重

Emerson OpenEnterprise SCADA <= 3.3.4

CVE-2020-10632

IOM

高危

CVE-2020-10636

IES

中危


0x01 误差详情


尊龙凯时·(中国区)人生就是搏!


Emerson Electric OpenEnterprise是美国艾默生电气(Emerson Electric)公司的一套主要用于远程石油和自然气应用的数据收罗与监控系统(SCADA) 。

克日 ,卡巴斯基的研究职员Roman Lozko发明了Emerson OpenEnterprise中的四个清静误差 ,这四个误差划分为基于堆的缓冲区溢出、缺少身份验证、所有权治理不当和弱加密问题 ,详细信息如下:

CVE-2020-6970是Emerson Electric OpenEnterprise SCADA Server中保存的缓冲区溢出误差 ,CVE-2020-10640是Emerson Electric OpenEnterprise中保存的清静误差 。以上两个误差都被评级为“严重” ,可以使攻击者在运行OpenEnterprise的装备上以提升的特权远程执行恣意代码 。

CVE-2020-10632是Emerson Electric OpenEnterprise中保存的清静误差 ,该误差源于程序为文件夹设置了不清静的权限 。攻击者可使用该误差修改主要的设置文件 ,造成系统故障或异常 。

CVE-2020-10636是Emerson Electric OpenEnterprise中保存的加密问题误差 。攻击者可使用该误差获取OpenEnterprise用户帐户的密码 。


0x02 处置惩罚建议


现在厂商已宣布升级补丁以修复误差 ,详情请关注厂商主页:

https://www.emerson.com/


0x03 相关新闻


https://www.securityweek.com/vulnerabilities-found-emerson-scada-product-made-oil-and-gas-industry


0x04 参考链接


https://www.us-cert.gov/ics/advisories/icsa-20-049-02

https://www.us-cert.gov/ics/advisories/icsa-20-140-02


0x05 时间线


2020-05-29 VSRC宣布误差通告


尊龙凯时·(中国区)人生就是搏!