Schneider Electric InduSoft 密码存储漏洞(CVE-2015-1009)

文章由LinuxBoy分享于2019-04-02 06:04:02热评（277）

Schneider Electric InduSoft 密码存储漏洞(CVE-2015-1009)

发布日期：2015-06-15
更新日期：2015-08-03

受影响系统：

Schneider Electric InduSoft Web Studio < 7.1.3.5 Patch 5
Schneider Electric InTouch Machine Edition 2014 < 7.1 SP3 Patch 4

描述：

CVE(CAN) ID: CVE-2015-1009

InduSoft Web Studio是用于开发人机界面、监督控制和数据采集的SCADA系统和嵌入式仪表解决方案。InduSoft Web Studio是用于开发人机界面、监督控制和数据采集的SCADA系统和嵌入式仪表解决方案。

Schneider Electric InduSoft Web Studio before 7.1.3.5 Patch 5及Wonderware InTouch Machine Edition through 7.1 SP3 Patch 4，在配置文件中以纯文本形式存储项目窗口的密码，这可使本地用户通过读取该文件，获取敏感信息。

<*来源：Gleb Gritsai

链接：https://ics-cert.us-cert.gov/advisories/ICSA-15-211-01
*>

建议：

厂商补丁：

Schneider Electric
------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://ics-cert.us-cert.gov/redirect?url=http%3A%2F%2Fwww.indusoft.com%2Fdev%2FINDUSOFT%2FRelease%2FIWS71.3.5%2FIWS71.3.5.zip

本文永久更新链接地址：

推荐文章：

Schneider Electric InduSoft 密码存储漏洞(CVE-2015-1009)