Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2014-00406: Уязвимость автоматизированной системы управления технологическими процессами SIMATIC WinCC, позволяющая авторизованным пользователям, действующим удаленно повысить уровень своих привилегий

Основная информация
Подробнее

Описание уязвимости

Уязвимость программного обеспечения Siemens SIMATIC WinCC, связанная с ошибками в коде сервера WinCC WebNavigator. Эксплуатация данной уязвимости позволяет авторизованным пользователям действующим удаленно повысить уровень своих привилегий.

Вендор

Siemens AG

Наименование ПО

SIMATIC WinCC

Версия ПО

от 5.0 до 7.2 включительно

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

Microsoft Corp. Windows . 64-bit
Microsoft Corp. Windows . 32-bit

Тип ошибки

Разрешения, привилегии и средства управления доступом

Идентификатор типа ошибки

CWE-264

Класс уязвимости

Уязвимость кода

Дата выявления

23.12.2012

Базовый вектор уязвимости

AV:N/AC:M/Au:S/C:P/I:P/A:N

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 7.3 или выше

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Способ эксплуатации

Данные уточняются

Способ устранения

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

http://osvdb.org/show/osvdb/109484
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2014-4683
http://secunia.com/advisories/60388/
http://secunia.com/advisories/60392/
http://www.securityfocus.com/bid/68879
http://ics-cert.us-cert.gov//advisories/ICSA-14-205-02 http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-214365.pdf http://securitylab.ru/lab/PT-2014-13

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2014-4683
OSVDB: OSVDB ID:109484
Secunia Advisory: Secunia Advisory ID:60388
Bugtraq: Bugtraq ID:68879
PT: PT-2014-13
ICSA: ICSA-14-205-02
Siemens Security: Siemens Security ID:214365

Прочая информация

Данные уточняются

Последние изменения