漏洞信息详情
Schneider Electric 多款产品SESU更新欺骗漏洞
- CNNVD编号:CNNVD-201301-373
- 危害等级: 高危
- CVE编号: CVE-2013-0655
- 漏洞类型: 输入验证
- 发布时间: 2013-01-21
- 威胁类型: 远程
- 更新时间: 2013-01-22
- 厂 商: schneider-electric
- 漏洞来源:
漏洞简介
施耐德电气为100多个国家的能源及基础设施、工业、数据中心及网络、楼宇和住宅市场提供整体解决方案。其中多个产品使用的SESU工具用于更新windows PC系统上的软件。客户PC上的Schneider Electric软件使用SESU服务作为Schneider Electric中心更新服务器的通信机制,可用于定期接收软件更新。
Schneider Electric Software Update (SESU) Utility 1.0.x和1.1.x版本中的客户端中存在漏洞,该漏洞源于确认更新有效的源。通过修改TCP端口80数据流,中间人攻击者利用该漏洞欺骗更新执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.schneider-electric.com/site/home/index.cfm/ww/?selectCountry=true
参考网址
来源: www2.schneider-electric.com
链接:http://www2.schneider-electric.com/corporate/en/support/cybersecurity/viewer-news.page?c_filepath=/templatedata/Content/News/data/en/local/cybersecurity/general_information/2013/01/20130109_advisory_of_vulnerability_affecting_schneider_electric_s_software_upda.xml
来源: www.us-cert.gov
链接:http://www.us-cert.gov/control_systems/pdf/ICSA-13-016-01.pdf
来源: www.schneider-electric.com
链接:http://www.schneider-electric.com/download/ww/en/details/29960967-SE-Software-Update-Utility-Vulnerability-Disclosure/?reference=SEVD-2013-009-01
来源:SECUNIA
名称:51849
链接:http://secunia.com/advisories/51849
受影响实体
- Schneider-Electric Software_update_utility:1.1
- Schneider-Electric Software_update_utility:1.0
- Schneider-Electric Software_update_utility:1.0.13
补丁
- progupdatesv100
评论