Уязвимость BDU:2020-01268

Дата: 25.05.2018. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-01268.

Наименование уязвимости: Уязвимость модуля управления HTTP(S) программного обеспечения коммутатора Belden Hirschmann HiOS и Belden Hirschmann HiSecOS, позволяющая нарушителю получить несанкционированный доступ к конфендициальной информации.

Описание уязвимости: Уязвимость модуля управления HTTP(S) программного обеспечения коммутатора Belden Hirschmann HiOS и Belden Hirschmann HiSecOS связана с ошибками обработки запросов на аутентификацию. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфендициальной информации, с помощью специально созданных HTTP-запросов.
Уязвимое ПО: Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS RSP до 05.0.07 включительно | Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS RSPE до 05.0.07 включительно | Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS RSPS до 05.0.07 включительно | Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS RSPL до 06.1.04 включительно | Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS MSP 06.1.04 включительно | Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS EES до 06.1.04 включительно | Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS EESX 06.2.00 | Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS GRS 06.2.00 | Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS OS 06.2.00 | Операционная система, Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiOS RED 06.2.00 | Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП Belden Inc. Hirschmann HiSecOS EAGLE до 03.0.02 включительно |

Наименование ОС и тип аппаратной платформы: Hirschmann HiOS RSP до 05007 включительно | Hirschmann HiOS RSPE до 05007 включительно | Hirschmann HiOS RSPS до 05007 включительно | Hirschmann HiOS RSPL до 06104 включительно | Hirschmann HiOS MSP 06104 включительно | Hirschmann HiOS EES до 06104 включительно | Hirschmann HiOS EESX 06200 | Hirschmann HiOS GRS 06200 | Hirschmann HiOS OS 06200 | Hirschmann HiOS RED 06200 | Hirschmann HiSecOS EAGLE до 03002 включительно |
Дата выявления: 25.05.2018.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению:
Обновление программного обеспечения:

Для Hirschmann HiOS версий RSP,RSPE, RSPS до 06.1.05 и выше;

Для Hirschmann HiOS версий RSPL, MSP, EES, EESX, GRS, OS, RED до 07.0.00 и выше;

Для Hirschmann HiSecOS EAGLE до 03.0.04 или 03.1.00.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: BSECV-2017-15.

Тип ошибки CWE: CWE-20, CWE-287
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.belden.com/hubfs/support/security/bulletins/Belden_Security_Bulletin_BSECV-2017-15_1v0_Final.pdf
https://www.belden.com/security-assurance

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *