16 июля 2019

Множественные уязвимости в Schneider Electric Floating License Manager

На сайте ICS-CERT опубликовано уведомление о множественных уязвимостях в приложении Floating License Manager (все версии до 2.3.0.0 включительно), которое входит в состав многих продуктов промышленной автоматизации Schneider Electric. Успешная эксплуатация этих уязвимостей может позволить злоумышленнику обойти лицензию на легальное использование продукта.

Всего в программном обеспечении было найдено четыре уязвимости.

Наиболее опасная уязвимость, CVE-2018-20033, получила оценку 9,8 баллов по шкале CVSS v3. Она представляет собой уязвимость удаленного выполнения кода в компонентах lmadmin и vendor daemon, которая может позволить злоумышленнику повредить память и привести к отключению демона vendor.

Три других уязвимости — CVE-2018-20031, CVE-2018-20032, CVE-2018-20034 – представляют собой DoS-уязвимости в компонентах lmadmin и vendor daemon, что также может привести к отключению демона vendor. Степень опасности этих уязвимостей оценивается в 7,5 балла по шкале CVSS v3.

Указанные уязвимости затронули также продукты компании AVEVA Vijeo Citect и Citect SCADA (версии 7.30 и более поздние), в которых используется Floating License Manager.

Для указанных уязвимостей компания Schneider Electric уже выпустила исправления, доступные на сайте производителя, и рекомендует пользователям как можно скорее

Источники: ICS-CERT, Schneider Electric