15 de marzo de 2014

Schneider Electric StruxureWare SCADA Expert ClearSCADA. Incorrecta validación de entrada

A través de la compañía ZDI un investigador ha identificado y reportado una vulnerabilidad de parsing en Schneider Electric StruxureWare SCADA Expert ClearSCADA, con nivel asignado de Importancia: 3 - Media
Detalle e Impacto de la vulnerabilidad
  • Se ha descubierto una vulnerabilidad en la validación de entrada "project-file" en el componente KepServerEX v4, presente en PLC Driver de versiones de SCADA Expert ClearSCADA. Kepware ha confirmado que esta vulnerabilidad no está presente en KepServerEX v5.
  •  PLC Driver es un componente opcional que se puede seleccionar manualmente durante la instalación. Muchos usuarios de SCADA Expert ClearSCADA podrían tener este componente instalado al realizar una instalación completa del producto.
  •  La vulnerabilidad en PLC Driver se encuentra en el archivo ServerMain.exe, el cual forma parte de KepServerEX v4. Este producto contiene varias vulnerabilidades que provocarían el cierre del proceso, provocando una denegación de servicio.
  •  Esta vulnerabilidad no puede ser explotada remotamente.
Recursos afectados
  1. ClearSCADA 2010 R2 (build 71.4165)
  2. ClearSCADA 2010 R2.1 (build 71.4325)
  3. ClearSCADA 2010 R3 (build 72.4560)
  4. ClearSCADA 2010 R3.1 (build 72.4644)
  5. SCADA Expert ClearSCADA 2013 R1 (build 73.4729)
  6. SCADA Expert ClearSCADA 2013 R1.1 (build 73.4832)
  7. SCADA Expert ClearSCADA 2013 R1.1a (build 73.4903)
  8. SCADA Expert ClearSCADA 2013 R1.2 (build 73.4955)
  9. SCADA Expert ClearSCADA 2013 R2 (build 74.5094)
Recomenación
Más información
Fuente: INTECO
Publicado por en
Etiquetas: , ,