Inicio / Alerta Temprana / Avisos Sci / Incorrecta validación de entrada en Schneider Electric StruxureWare SCADA Expert ClearSCADA

Incorrecta validación de entrada en Schneider Electric StruxureWare SCADA Expert ClearSCADA

Fecha de publicación: 
14/03/2014
Importancia: 
3 - Media
Recursos afectados: 
  • ClearSCADA 2010 R2 (build 71.4165)
  • ClearSCADA 2010 R2.1 (build 71.4325)
  • ClearSCADA 2010 R3 (build 72.4560)
  • ClearSCADA 2010 R3.1 (build 72.4644)
  • SCADA Expert ClearSCADA 2013 R1 (build 73.4729)
  • SCADA Expert ClearSCADA 2013 R1.1 (build 73.4832)
  • SCADA Expert ClearSCADA 2013 R1.1a (build 73.4903)
  • SCADA Expert ClearSCADA 2013 R1.2 (build 73.4955)
  • SCADA Expert ClearSCADA 2013 R2 (build 74.5094)
Descripción: 

A través de la compañía ZDI un investigador ha identificado y reportado una vulnerabilidad de parsing en Schneider Electric StruxureWare SCADA Expert ClearSCADA.

Solución: 
Schneider Electric recomienda a sus usuarios desinstalar el driver Kepware en las versiones vulnerables del producto y migrar a una instalación externa de KepServerEX v5.

La asistencia técnica se encuentra disponible en Schneider Electric Technical Application Support.
Detalle: 

Se ha descubierto una vulnerabilidad en la validación de entrada "project-file" en el componente KepServerEX v4, presente en PLC Driver de versiones de SCADA Expert ClearSCADA. Kepware ha confirmado que esta vulnerabilidad no está presente en KepServerEX v5.

PLC Driver es un componente opcional que se puede seleccionar manualmente durante la instalación. Muchos usuarios de SCADA Expert ClearSCADA podrían tener este componente instalado al realizar una instalación completa del producto.

La vulnerabilidad en PLC Driver se encuentra en el archivo ServerMain.exe, el cual forma parte de KepServerEX v4. Este producto contiene varias vulnerabilidades que provocarían el cierre del proceso, provocando una denegación de servicio.

Esta vulnerabilidad no puede ser explotada remotamente.