首頁 > 安全研究 > 安全通報 > 安全通告

施耐德電氣修復了多個DoS漏洞風險通告

發布時間 2019-12-17

漏洞編號和級別


CVE編號:CVE-2019-6857,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定

CVE編號:CVE-2019-6856,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定

CVE編號:CVE-2018-7794,危險級別:中危,CVSS分值:廠商自評:5.9,官方未評定

CVE編號:CVE-2019-13537,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定


影響版本


Modicon M580

Modicon M340

Modicon Quantum

Modicon Premium

Power SCADA Operation

Power SCADA Expert

EcoStruxure Geo SCADA Expert (ClearSCADA)

EcoStruxure Control Expert


漏洞概述


施耐德電氣通知客戶,已經為某些Modicon控制器和幾種EcoStruxure產品中的漏洞提供了補丁。根據施耐德電氣的說法,Modicon M580,M340,Quantum和Premium控制器受到三個拒絕服務(DoS)漏洞的影響。所有這三個漏洞均是由于“對異?;虍惓G闆r進行不當檢查”引起的,具有網絡訪問權限的攻擊者可以通過Modbus TCP利用這些漏洞。其中兩個漏洞的嚴重性等級為高,而一個嚴重程度為中等。施耐德電氣還修復了三款EcoStruxure產品中的安全漏洞,包括Power SCADA Operation電源監視和控制軟件中的緩沖區溢出漏洞、ClearSCADA中的文件權限不正確漏洞和EcoStruxure Control Expert編程軟件中的身份驗證繞過漏洞。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://www.se.com/ww/en/download/。


參考鏈接


https://www.securityweek.com/schneider-electric-patches-vulnerabilities-modicon-ecostruxure-products



上一篇 下一篇