Siemens ProcessSuite/Invensys Wonderware InTouch本地信息泄露漏洞
CVE编号
CVE-2012-4693利用情况
暂无补丁情况
N/A披露时间
2012-12-19漏洞描述
Siemens ProcessSuite/Invensys Wonderware InTouch是分布式控制系统“APACS ”。ProcessSuite多用于制造,油气,化学等地。InTouch是一款HMI软件。由于包含密码的用户管理系统以可逆格式存储在文件"Ps_security.ini"中,拥有读取权限的用户可利用此漏洞获取密码信息,以特权用户登录,影响系统完整性,可用性和机密性。解决建议
Siemens已经不支持ProcessSuite产品,建议用户升级到最近的HMI for APACS 。Invensys建议使用Windows集成安全或把HMI和OS升级到支持版本,并安装它们的安全更新。http://global.wonderware.com/EN/Pages/WonderwareTechnicalSupportContacts.aspx http://www.siemens.com
参考链接 |
|
|---|---|
| http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_... | |
| http://www.us-cert.gov/control_systems/pdf/ICSA-12-348-01.pdf |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | invensys | wonderware_intouch | * | Up to (including) 2012 | |||||
| 运行在以下环境 | |||||||||
| 应用 | siemens | processsuite | - | - | |||||
- 攻击路径 本地
- 攻击复杂度 N/A
- 权限要求 无
- 影响范围 N/A
- 用户交互 无
- 可用性 无
- 保密性 部分地
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论