Siemens ProcessSuite和Invensys Wonderware InTouch不安全密码存储信息泄露漏洞

发布日期：2012-12-13
更新日期：2012-12-17受影响系统：
Siemens ProcessSuite
Invensys Wonderware InTouch <= 2012 R2
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 56934
CVE（CAN） ID: CVE-2012-4693Siemens ProcessSuite是Moore Products Inc.的分布式控制系统的一部分，该公司于2000年被Siemens收购。Invensys Wonderware InTouch是Invensys Wonderware创建的HMI，用于设计、构建、部署、维护生产和基础架构操作的应用。Siemens ProcessSuite和Invensys Wonderware InTouch将用户管理信息（包括密码）存储在文件“Ps_security.ini”内且这些数据可逆。对本地文件具有读权限的攻击者可利用此漏洞获取密码，从而获取管理员权限。<*来源：Seth Bromberger （sbbugtraq1102@yahoo.com）

链接：http://www.us-cert.gov/control_systems/pdf/ICSA-12-348-01.pdf
*>建议：
--------------------------------------------------------------------------------
厂商补丁：Siemens
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.siemens.com/corporate-technology/pool/Invensys Wonderware
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://global.wonderware.com/EN/Pages/default.aspxCentOS 6.0下使用Chage的方式来提升系统安全级别UBB.threads不明细节安全绕过漏洞相关资讯信息泄露漏洞

Windows辅助功能驱动程序信息泄露（11/13/2013 12:25:31）
SSL/TLS RC4 信息泄露漏洞（CVE- （04/06/2013 07:24:29）
HP Intelligent Management Center （03/27/2013 12:02:19）

HP Intelligent Management Center （04/10/2013 20:57:35）
PowerHawk 6320 Smart Meter信息泄（03/27/2013 21:57:33）
多个TLS和DTLS实现信息泄露漏洞（（03/03/2013 09:23:09）

本文评论查看全部评论（0）

评论声明