Schneider Electric исправила опасную уязвимость в своих продуктах

Несколько программных решений компании Schneider Electric оказались подвержены серьезной уязвимости, позволяющей удаленному пользователю выполнить произвольный код. Как  сообщается  в бюллетене безопасности производителя, брешь существует из-за ошибки в одной из библиотек, поставляемых в наборе разработки Device Type Manager (DTM). Проэксплуатировав ее, удаленный пользователь может вызвать переполнение стека и скомпрометировать систему.

Уязвимости подвержены следующие библиотеки DTM: Modbus Communication Library 2.2.6 и более ранние версии, CANOpen Communication Library 1.0.2 и более ранние версии, EtherNet/IP Communication Library 1.0.0 и более ранние версии, EM X80 Gateway DTM (MB TCP/SL), DTM Advantys (OTB, STB), KINOS, SOLO и Xantrex. Эти DTM используются в программных продуктах SoMove, SoMove Lite, Unity Pro и SoMachine.

По данным  бюллетеня  ICS-CERT, уязвимости был присвоен идентификатор CVE-2014-9200. Ее достаточно легко проэксплуатировать, но в настоящее время рабочего эксплоита не существует.

Schneider Electric выпустила исправление, устраняющее данную брешь. Оно заменяет уязвимый DLL-файл на его корректную версию.

Детальная информация об уязвимости доступна  здесь .