Proficy HMI/SCADA - CIMPLICITY Web Server栈溢出漏洞

Proficy HMI/SCADA - CIMPLICITY Web Server栈溢出漏洞

发布日期：2013-07-30
更新日期：2013-07-31

受影响系统：
ge-ip Proficy CIMPLICITY 8.x
描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-2785

GE Proficy CIMPLICITY是客户端/服务器业务可视化和控制解决方案。

Proficy HMI/SCADA - CIMPLICITY 8.2、8.1、8.0版本在解码密码时，CimWebServer组件存在边界错误，szPassword字段超长的请求会造成栈缓冲区溢出；在处理Broadcase/Init时，CimWebServer组件存在边界错误，szOptions字段超长的请求会造成栈缓冲区溢出。

<*来源：ZombiE
        amisto0x07
 
  链接：http://secunia.com/advisories/54348/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

ge-ip
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ge-ip.com/products/proficy-hmi-scada-cimplicity/p2819

Proficy HMI/SCADA – CIMPLICITY 8.2 SIM 19:
http://support.ge-ip.com/support/index?page=dwchannel&id=DN4014
Proficy HMI/SCADA – CIMPLICITY 8.1 SIM 25:
http://support.ge-ip.com/support/index?page=dwchannel&id=DN4024
Proficy HMI/SCADA – CIMPLICITY 8.0 SIM 27:
http://support.ge-ip.com/support/index?page=dwchannel&id=DN4013