Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad en servidor OFS de Schneider Electric

Vulnerabilidad en servidor OFS de Schneider Electric

Fecha de publicación: 
22/05/2015
Importancia: 
3 - Media
Recursos afectados: 

Los productos afectados son:

  • Schneider OPC Factory Server versión 3.5 y anteriores
  • OFS v3.5 con versión v7.40 del  SCADA Expert Vijeo Citect/CitectSCADA
  • OFS v3.5 con versión v7.30 de Vijeo Citect/CitectSCADA
  • OFS v3.5 con versión v7.20 de Vijeo Citect/CitectSCADA.
Descripción: 

Se han descubierto dos vulnerabilidades de inyección de DLL en la aplicación OPC Factory Server (OFS) de Schneider Electric.

Solución: 

Actualizar a la  versión  V3.5, SP 6 de OPC Factory Server

La actualización puede descargarse del sitio web de Schneider en el siguiente enlace:

http://www.schneider-electric.com/download/WW/EN/details/703716507-OPC-Factory-Server-V350---Service-Pack-6/?showAsIframe=true&reference=OFS_3_50_2911-(SP6)

Para el SCADA Expert Vijeo Citect/CitectSCADA los clientes pueden descargar la última service pack dependiendo de la versión del producto en el siguiente enlace:

http://www.citect.schneider-electric.com/scada/vijeo-citect/downloads-updates/service-packs

Detalle: 

La explotación de la vulnerabilidad posibilita cargar una DLL en el directorio system de la máquina víctima. Cuando la aplicación intenta abrir esa libreria, puede producirse una caída de la misma o la ejecución de código de forma arbitraria. Esta vulnerabilidad no es explotable remotamente y es necesaria intervención del usuario local.

Se ha reservado el identificador CVE-2015-1014 para esta vulnerabilidad.