Schneider Electric InduSoft 密码存储漏洞(CVE-2015-1009)
发布日期:2015-06-15
更新日期:2015-08-03
受影响系统:
Schneider Electric InTouch Machine Edition 2014 < 7.1 SP3 Patch 4
描述:
CVE(CAN) ID: CVE-2015-1009
InduSoft Web Studio是用于开发人机界面、监督控制和数据采集的SCADA系统和嵌入式仪表解决方案。InduSoft Web Studio是用于开发人机界面、监督控制和数据采集的SCADA系统和嵌入式仪表解决方案。
Schneider Electric InduSoft Web Studio before 7.1.3.5 Patch 5及Wonderware InTouch Machine Edition through 7.1 SP3 Patch 4,在配置文件中以纯文本形式存储项目窗口的密码,这可使本地用户通过读取该文件,获取敏感信息。
<*来源:Gleb Gritsai
链接:https://ics-cert.us-cert.gov/advisories/ICSA-15-211-01
*>
建议:
厂商补丁:
Schneider Electric
------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://ics-cert.us-cert.gov/redirect?url=http%3A%2F%2F%2Fdev%2FINDUSOFT%2FRelease%2FIWS71.3.5%2FIWS71.3.5.zip