施耐德电气修复了多个DoS漏洞风险通告
发布时间 2019-12-17漏洞编号和级别
CVE编号:CVE-2019-6857,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
CVE编号:CVE-2019-6856,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
CVE编号:CVE-2018-7794,危险级别:中危,CVSS分值:厂商自评:5.9,官方未评定
CVE编号:CVE-2019-13537,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
影响版本
Modicon M580
Modicon M340
Modicon Quantum
Modicon Premium
Power SCADA Operation
Power SCADA Expert
EcoStruxure Geo SCADA Expert (ClearSCADA)
EcoStruxure Control Expert
漏洞概述
施耐德电气通知客户,已经为某些Modicon控制器和几种EcoStruxure产品中的漏洞提供了补丁。根据施耐德电气的说法,Modicon M580,M340,Quantum和Premium控制器受到三个拒绝服务(DoS)漏洞的影响。所有这三个漏洞均是由于“对异常或异常情况进行不当检查”引起的,具有网络访问权限的攻击者可以通过Modbus TCP利用这些漏洞。其中两个漏洞的严重性等级为高,而一个严重程度为中等。施耐德电气还修复了三款EcoStruxure产品中的安全漏洞,包括Power SCADA Operation电源监视和控制软件中的缓冲区溢出漏洞、ClearSCADA中的文件权限不正确漏洞和EcoStruxure Control Expert编程软件中的身份验证绕过漏洞。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.se.com/ww/en/download/。
参考链接
https://www.securityweek.com/schneider-electric-patches-vulnerabilities-modicon-ecostruxure-products
京公网安备11010802024551号