安全漏洞公告

2018-04-10 14:53:23 浏览数 (1)

1 Triangle MicroWorks SCADA Data Gateway TLS/DTLS信息泄露漏洞

Triangle MicroWorks SCADA Data Gateway TLS/DTLS信息泄露漏洞

发布时间:

2014-06-05

漏洞编号:

漏洞描述:

SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/Slave设备上的数据,然后将这些数据传输给支持OPC, IEC 60870-6 (TASE.2/ICCP) Client, IEC 60870-5, DNP3, Modbus Client/Master通讯协议的其他控制系统。SCADA Data Gateway由于捆绑了有心脏滴血漏洞的OpenSSL(CVE-2014-0160),在实现上存在信息泄露漏洞,恶意用户可利用此漏洞获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.trianglemicroworks.com/products/scada-data-gateway/what's-new

2 SCADA Data Gateway IP连接设备远程拒绝服务漏洞

SCADA Data Gateway IP连接设备远程拒绝服务漏洞

发布时间:

2014-06-05

漏洞编号:

BUGTRAQ ID: 67722CVE(CAN) ID: CVE-2014-2342

漏洞描述:

SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/Slave设备上的数据,然后将这些数据传输给支持OPC, IEC 60870-6 (TASE.2/ICCP) Client, IEC 60870-5, DNP3, Modbus Client/Master通讯协议的其他控制系统。SCADA Data Gateway 3.00.0635之前版本处理特制的DNP3数据包时存在安全漏洞,可使远程攻击者造成拒绝服务(过量数据处理)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.trianglemicroworks.com/products/scada-data-gatewayhttp://www.trianglemicroworks.com/products/scada-data-gateway/what's-new参考:http://ics-cert.us-cert.gov/advisories/ICSA-14-149-01

3 SCADA Data Gateway串联设备本地拒绝服务漏洞

SCADA Data Gateway串联设备本地拒绝服务漏洞

发布时间:

2014-06-05

漏洞编号:

BUGTRAQ ID: 67723CVE(CAN) ID: CVE-2014-2343

漏洞描述:

SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/Slave设备上的数据,然后将这些数据传输给支持OPC, IEC 60870-6 (TASE.2/ICCP) Client, IEC 60870-5, DNP3, Modbus Client/Master通讯协议的其他控制系统。SCADA Data Gateway 3.00.0635之前版本处理串行线上特制的DNP请求时存在安全漏洞,可使物理位置接近的攻击者造成拒绝服务(过量数据处理)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.trianglemicroworks.com/products/scada-data-gatewayhttp://www.trianglemicroworks.com/products/scada-data-gateway/what's-new参考:http://ics-cert.us-cert.gov/advisories/ICSA-14-149-01

4 多个F-Secure产品任意文件访问漏洞

多个F-Secure产品任意文件访问漏洞

发布时间:

2014-06-05

漏洞编号:

BUGTRAQ ID: 67821

漏洞描述:

F-Secure,原名Data Fellows,是欧洲著名信息安全厂商,总部位于芬兰首都赫尔辛基。多个F-Secure产品的Online Safety及Browsing Protection功能在实现上存在安全漏洞,可导致攻击者可以读取用户文件系统内的任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.f-secure.com/en/web/labs_global/fsc-2014-5

5 App::Context签名验证安全措施绕过漏洞

App::Context签名验证安全措施绕过漏洞

发布时间:

2014-06-05

漏洞编号:

BUGTRAQ ID: 59832CVE(CAN) ID: CVE-2012-6141

漏洞描述:

App::Context是Web应用、命令行程序、服务器程序的应用框架。App::Context 0.01-0.968版本没有正确使用Storable::thaw函数,这可使远程攻击者通过向 App::Session::Cookie或App::Session::HTMLHidden传递精心构造的请求,利用此漏洞执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://search.cpan.org/~spadkins/App-Context-0.968/lib/App/Context.pm

6 Serv-U多个安全漏洞

Serv-U多个安全漏洞

发布时间:

2014-06-04

漏洞编号:

漏洞描述:

Serv-U是一种使用广泛的FTP服务器程序。Serv-U 15.1.0.458之前版本没有验证用户名称时会返回不同的响应,这可导致枚举有效的用户名称,某些用户输入没有正确过滤即返回给用户,这可导致在用户浏览器会话中执行任意HTML和脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.serv-u.com/releasenotes/

7 PHP 'cdf_read_property_info()'函数拒绝服务漏洞

PHP 'cdf_read_property_info()'函数拒绝服务漏洞

发布时间:

2014-06-03

漏洞编号:

BUGTRAQ ID: 67765CVE(CAN) ID: CVE-2014-0238

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.4.29之前版本、5.5.13之前版本,Fileinfo组件中,cdf.c内的cdf_read_property_info函数存在拒绝服务漏洞,远程攻击者通过零长度或超长的矢量造成拒绝服务(无限循环或越界内存访问)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/ChangeLog-5.phphttps://github.com/file/file/commit/b8acc83781d5a24cc5101e525d15efe0482c280dhttps://bugs.php.net/bug.php?id=67328

------------------------------

0 人点赞