施耐德U.motion Builder多个漏洞
近日,施耐德官方发布通告公布了数个U.motion Builder软件中的漏洞,包含SQL注入和远程代码执行等共计16个安全漏洞。各漏洞概括如下表:
CVE | 漏洞名称 | CVSS 3.0 评分 |
CVE-2018-7763 | Css.inc 目录穿越/信息泄露 | 4.3 |
CVE-2018-7764 | Runscript目录穿越/信息泄露 | 4.3 |
CVE-2018-7765 | Track_import_export SQL注入/远程代码执行 | 8.8 |
CVE-2018-7766 | Track_getdata SQL注入/远程代码执行 | 6.3 |
CVE-2018-7767 | Editobject SQL注入/远程代码执行 | 6.3 |
CVE-2018-7768 | Loadtemplate SQL注入/远程代码执行 | 6.3 |
CVE-2018-7769 | Xmlserver SQL注入/远程代码执行 | 6.3 |
CVE-2018-7770 | Sendmail email_attachment参数绝对路径穿越/信息泄露 | 6.5 |
CVE-2018-7771 | Editscript目录穿越/远程代码执行 | 5.5 |
CVE-2018-7772 | HTTP Cookie SQL注入/远程代码执行 | 6.3 |
CVE-2018-7773 | Nfcserver SQL注入/远程代码执行 | 6.3 |
CVE-2018-7774 | Localize SQL注入/远程代码执行 | 6.3 |
CVE-2018-7775 | 错误信息路径/信息泄露 | 4.3 |
CVE-2018-7776 | 错误信息泄露 | 4.3 |
CVE-2018-7777 | 远程代码执行 | 8.8 |
CVE-2017-7494 | Samba漏洞 | 10.0 |
上述漏洞的具体信息请参考施耐德官方通告:
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Id=9607472623&p_File_Name=SEVD-2018-095-01+U.motion.pdf&p_Reference=SEVD-2018-095-01
受影响的版本
U.motion Builder Software all version < v1.3.4
不受影响的版本
U.motion Builder Software all version v1.3.4
解决方案
施耐德官方已经发布了新版本修复了上述漏洞,请用户尽快下载更新至最新版本进行防护。
下载链接:
https://www.schneider-electric.com/en/download/document/SE_UMOTION_BUILDER/
同时,施耐德官方建议用户采取以下缓解措施和最佳实践方法:
1.永远保证运行U.motion Builder 软件的机器处于有防火墙保护和访问控制的环境中。
2.永远不要将机器直接连入Internet。
3.永远不要将机器放在DMZ中。
4.永远不要让机器直接与Internet流量接触。
5.应使用信任和安全的VPN来远程连入U.motion系统。
6.只有受信任的并且有合法需求的机器才可以连入U.motion Builder软件。
7.在运行U.motion Builder软件的机器上,利用应用白名单来限制可以运行的应用程序。
8.在默认的Windows防火墙中启用访问控制功能(参考微软指导:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc725770(v=ws.10))
参考链接:
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Id=9607472623&p_File_Name=SEVD-2018-095-01+U.motion.pdf&p_Reference=SEVD-2018-095-01
请点击屏幕右上方“…” NSFOCUS-weixin | |
↑↑↑长按二维码,下载绿盟云APP
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 “两路”精神的时代回响 7927025
- 2 还有8天刑满释放的他改判死缓 7917241
- 3 碎花裙女孩火了后拒绝直播带货 7866615
- 4 2024美丽中国建设稳步推进 7786848
- 5 中国新任驻乌大使向泽连斯基递交国书 7683957
- 6 中国籍两兄弟在日本偷走3200颗包菜 7597729
- 7 近9000亿美元!拜登签了 7419798
- 8 央视蛇年春晚分会场确定 7333414
- 9 公安部一干部“空降”浙江 7290059
- 10 新疆伊犁有酒店一晚只要4元 7100672