В продуктах Metasys и BCPro от Johnson Controls исправлена уязвимость
В продуктах Metasys и BCPro американской компании Johnson Controls исправлена уязвимость (CVE-2018-10624), позволяющая раскрыть информацию через сообщение об ошибке. Осуществить атаку с ее помощью можно из примыкающей сети, обладая лишь базовыми техническими навыками.
По системе оценивания опасности CVSS v3 уязвимость получила 4,3 балла из максимальных 10. Проблема связана с некорректной обработкой ошибок в HTTP-соединении с сервером. Успешно проэксплуатировав уязвимость, злоумышленник может получить полезную техническую информацию о серверах Metasys или BCPro и с ее помощью осуществить дальнейшие атаки.
Проблема затрагивает версии Metasys System 8.0 и более ранние, а также все версии BCPro (BCM) до 3.0.2. Уязвимость была исправлена в Metasys 8.1 в апреле 2016 года, однако пользователям рекомендуется установить актуальную версию 9.0. Также проблема была устранена в BCPro Workstation в BCPro 3.0 (октябрь 2017 года) и BACnet Router and Gateway в BCPro 3.0.2 (июнь 2018 года).
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
