Inicio / Alerta Temprana / Avisos Sci / Permisos por defecto inadecuados en OSIsoft PI AF

Permisos por defecto inadecuados en OSIsoft PI AF

Fecha de publicación: 
13/05/2015
Importancia: 
4 - Alta
Recursos afectados: 
  • PI AF 2.6
  • PI AF 2.7
  • PI SQL para AF 2.1
Descripción: 

OSIsoft PI AF tiene una configuración de permisos por defecto inadecuada, que permitiría, bajo ciertas condiciones, ataques como denegación de servicio, fuga de información o elevación de privilegios.

Solución: 
  • En PI WebParts 2013 o siguientes, eliminar el grupo "PI SQL (AF) Trusted Users"
  • En PI WebParts 2010 (o 2010 R2), actualizar a 2003 y seguir sus instrucciones, o bien:
    • Quitar el usuario "Everyone" del grupo "PI SQL (AF) Trusted Users"
    • Si el pool de aplicaciones SharePoint que aloja PI WebParts corre como una cuenta de servicio de dominio, añadir dicha cuenta al Windows Group.
    • Si corre con la identidad "Network Services", añadir la cuenta del webserver al Windows Group. Despues de eso, realizar un IISRESET en el webserver de PI WebParts. I el webserver PI WebParts y el AF Server corren en lamisma máquina, la identidad "Network Services" debe ser añadida, y la máquina reiniciada.
  • Si no está instalado PI WebParts, Eliminar el grupo "PI SQL (AF) Trusted Users"
Detalle: 

Algunas instalaciones insertan la cuenta "Everyone" en el grupo "PI SQL (AF) Trusted Users". Dicho grupo puede saltarse la mayoría de las comprobaciones de seguridad y puede ejecutar comandos.

Se ha reservado el identificador CVE-2015-1013.

Etiquetas: