- В этой теме 9 ответов, 3 участника, последнее обновление 1 год, 4 месяца назад сделано
.
-
Сообщения
-
Здравствуйте, мной была найдена уязвимость в вашем продукте Rapid SCADA версии 5.8.4.
Ее подробное описание я отправлял вам на почту: info@…Подробности в открытом в виде разглашать здесь не могу, чтобы не было угроз информационной безопасности пользователям.
Защитить внешними средствами нельзя?
Так как особого смысла для 5-й версии уже не имеет, проще в 6-й версии предусмотреть.
В любом случае необходимо исправлять уязвимость, тем более на сайте версия 5.8.4 считается актуальной.
Добрый день!
Благодарю, что обратили внимание на проблему.
Последовательность действий, которая была отправлена на емаил, связана с вводом HTML и JS-скриптов в таблицы базы конфигурации через приложение Администратор. При корректно настроенной системе доступ к проекту имеется только у инженеров, которые выполняют обслуживание системы. Операторы работают исключительно через веб-интерфейс. Поэтому указанная проблема имеет место быть, но не является критической угрозой безопасности, её приоритет оценивается как средний. Если инженер имеет доступ к проекту, то ему гораздо проще завести себе пользователя с максимальными правами, чем внедрять HTML, JS и т.п.Критической можно считать уязвимость, при которой возможно добавить свои скрипты через веб-интерфейс системы. На данный момент подобной проблемы не выявлено. Если есть информация о том, как взломать систему через веб-интерфейс, то будем рады сообщению об этом.
Проблема, связанная потенциальным вводом скриптов через проект в Администраторе, решена в версии 6.
Кстати, в версии 6 также решена связанная проблема с передачей и выводом числовых значений каналов в виде символа бесконечность и NaN. Сервер преобразует подобные значения в недостоверные.
@clauncher версия 5.8.4 все еще в ходу, версия 6 пока RC2 по сути.
Здравствуйте, я получил CVE на данную уязвимость. Можно ли опубликовать информацию о ней?
Добрый день. На Ваше усмотрение.
- Вы должны авторизироваться для ответа в этой теме.