БДУ - Уязвимости

BDU:2023-02898: Уязвимость интерактивной графической SCADA системы Interactive Graphical SCADA System (IGSS), вызванная переполнением буфера на стеке, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость интерактивной графической SCADA системы Interactive Graphical SCADA System (IGSS) вызвана переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Schneider Electric
Наименование ПО	Interactive Graphical SCADA System
Версия ПО	до 15.0.0.21243 включительно
Тип ПО	Средство АСУ ТП
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Копирование буфера без проверки размера входных данных (классическое переполнение буфера)
Идентификатор типа ошибки	CWE-120
Класс уязвимости	Уязвимость кода
Дата выявления	12.10.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Компенсирующие меры: - сегментирование сети с целью ограничения возможности доступа к промышленному программному обеспечению; - использование средств межсетевого экранирования для ограничения доступа; - регламентация разрешенных сетевых ресурсов и соединений; - ограничение доступа к устройству из внешних сетей (Интернет); - использование виртуальных частных сетей для организации удаленного доступа (VPN). Использование рекомендаций: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-03
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-03
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-22802
Прочая информация	Данные уточняются

Последние изменения

01.12.2023 Уязвимость функции show_zysync_server_contents микропрограммного обеспечения сетевых хранилищ Zyxel NAS326, NAS542, позволяющая нарушителю выполнить произвольный код
01.12.2023 Уязвимость интерфейса iControl SOAP средств контроля доступа и удаленной аутентификации BIG-IP, позволяющая нарушителю выполнить произвольный код
01.12.2023 Уязвимость сервера приложений Eclipse Glassfish, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю загружать вредоносный код на сервер
01.12.2023 Уязвимость веб-шлюза McAfee Web Gateway, связанная с ошибками в коде, позволяющая нарушителю вызвать отказ в обслуживании
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с недостаточной проверкой входных данных, позволяющая нарушителю повысить свои привилегии
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с некорректной инициализацией ресурса, позволяющая нарушителю вызвать отказ в обслуживании
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с недостатками контроля доступа, позволяющая нарушителю раскрыть защищаемую информацию
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
01.12.2023 Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств ZyXEL VPN, USG FLEX и ATP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
01.12.2023 Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств ZyXEL VPN, USG FLEX и ATP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»