Vulnerabilidad en servidor OFS de Schneider Electric
Fecha de publicación:
22/05/2015
Importancia:
3 -
Media
Recursos afectados:
Los productos afectados son:
- Schneider OPC Factory Server versión 3.5 y anteriores
- OFS v3.5 con versión v7.40 del SCADA Expert Vijeo Citect/CitectSCADA
- OFS v3.5 con versión v7.30 de Vijeo Citect/CitectSCADA
- OFS v3.5 con versión v7.20 de Vijeo Citect/CitectSCADA.
Descripción:
Se han descubierto dos vulnerabilidades de inyección de DLL en la aplicación OPC Factory Server (OFS) de Schneider Electric.
Solución:
Actualizar a la versión V3.5, SP 6 de OPC Factory Server
La actualización puede descargarse del sitio web de Schneider en el siguiente enlace:
Para el SCADA Expert Vijeo Citect/CitectSCADA los clientes pueden descargar la última service pack dependiendo de la versión del producto en el siguiente enlace:
http://www.citect.schneider-electric.com/scada/vijeo-citect/downloads-updates/service-packs
Detalle:
La explotación de la vulnerabilidad posibilita cargar una DLL en el directorio system de la máquina víctima. Cuando la aplicación intenta abrir esa libreria, puede producirse una caída de la misma o la ejecución de código de forma arbitraria. Esta vulnerabilidad no es explotable remotamente y es necesaria intervención del usuario local.
Se ha reservado el identificador CVE-2015-1014 para esta vulnerabilidad.
Referencias:
Etiquetas: