近日,施耐德官方发布通告公布了数个U.motion Builder软件中的漏洞,包含SQL注入和远程代码执行等共计16个安全漏洞。
各漏洞概括如下表:
CVE | 漏洞名称 | CVSS 3.0 评分 |
CVE-2018-7763 | Css.inc 目录穿越/信息泄露 | 4.3 |
CVE-2018-7764 | Runscript目录穿越/信息泄露 | 4.3 |
CVE-2018-7765 | Track_import_export SQL注入/远程代码执行 | 8.8 |
CVE-2018-7766 | Track_getdata SQL注入/远程代码执行 | 6.3 |
CVE-2018-7767 | Editobject SQL注入/远程代码执行 | 6.3 |
CVE-2018-7768 | Loadtemplate SQL注入/远程代码执行 | 6.3 |
CVE-2018-7769 | Xmlserver SQL注入/远程代码执行 | 6.3 |
CVE-2018-7770 | Sendmail email_attachment参数绝对路径穿越/信息泄露 | 6.5 |
CVE-2018-7771 | Editscript目录穿越/远程代码执行 | 5.5 |
CVE-2018-7772 | HTTP Cookie SQL注入/远程代码执行 | 6.3 |
CVE-2018-7773 | Nfcserver SQL注入/远程代码执行 | 6.3 |
CVE-2018-7774 | Localize SQL注入/远程代码执行 | 6.3 |
CVE-2018-7775 | 错误信息路径/信息泄露 | 4.3 |
CVE-2018-7776 | 错误信息泄露 | 4.3 |
CVE-2018-7777 | 远程代码执行 | 8.8 |
CVE-2017-7494 | Samba漏洞 | 10.0 |
上述漏洞的具体信息请参考施耐德官方通告:
受影响的版本
- motion Builder Software all version < v1.3.4
不受影响的版本
- motion Builder Software all version v1.3.4
解决方案
施耐德官方已经发布了新版本修复了上述漏洞,请用户尽快下载更新至最新版本进行防护。
下载链接:
https://www.schneider-electric.com/en/download/document/SE_UMOTION_BUILDER/
同时,施耐德官方建议用户采取以下缓解措施和最佳实践方法:
- 永远保证运行motion Builder 软件的机器处于有防火墙保护和访问控制的环境中。
- 永远不要将机器直接连入Internet。
- 永远不要将机器放在DMZ中。
- 永远不要让机器直接与Internet流量接触。
- 应使用信任和安全的VPN来远程连入motion系统。
- 只有受信任的并且有合法需求的机器才可以连入motion Builder软件。
- 在运行motion Builder软件的机器上,利用应用白名单来限制可以运行的应用程序
- 在默认的Windows防火墙中启用访问控制功能(参考微软指导:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc725770(v=ws.10))
参考链接:
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。