久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

西門子SiPass集成服務(wù)器中的一些漏洞已被修補(bǔ)，其中包括一個(gè)允許攻擊者繞過驗(yàn)證的漏洞。

SiPass是該公司在多個(gè)行業(yè)和用例中管理物理訪問的綜合訪問控制服務(wù)器。該產(chǎn)品支持讀卡器，并與視頻監(jiān)控設(shè)備集成，以及其他功能和功能。醫(yī)院，機(jī)場(chǎng)和制造設(shè)施由西門子列為服務(wù)器的理想用例。

該咨詢說，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急小組(ICS-CERT)周四發(fā)布了一個(gè)咨詢警告用戶，他們應(yīng)該立即將服務(wù)器更新到V2.70。

ICS-CERT表示：“成功利用這些漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者通過網(wǎng)絡(luò)訪問服務(wù)器進(jìn)行管理操作。

不正當(dāng)?shù)纳矸蒡?yàn)證錯(cuò)誤CVE-2017-9939獲得了9.8的CVSS基準(zhǔn)分?jǐn)?shù)，只有最高10個(gè)。根據(jù)ICS-CERT，具有對(duì)SiPass服務(wù)器的網(wǎng)絡(luò)訪問權(quán)限的攻擊者可以繞過設(shè)備上的身份驗(yàn)證并運(yùn)行他們選擇的代碼或操作。

在更新中也修補(bǔ)了三個(gè)其他較小關(guān)鍵的漏洞。CVE-2017-9940是一種不正當(dāng)?shù)臋?quán)限管理缺陷，允許攻擊者具有較小的權(quán)限，通過網(wǎng)絡(luò)將文件讀取或?qū)懭隨iPass服務(wù)器。

該更新還涉及到一個(gè)中間人的漏洞CVE-2017-9941。位于SiPass服務(wù)器和集成客戶端之間的攻擊者可以訪問兩點(diǎn)之間的通信。

最后，CVE-2017-9942是一個(gè)問題，密碼以可恢復(fù)的格式存儲(chǔ)，允許本地攻擊者獲取這些憑據(jù)。

西門子還修補(bǔ)了SIMATIC SmartClient Android應(yīng)用程序中的兩個(gè)漏洞，可以遠(yuǎn)程操作和管理SIMATIC人機(jī)界面(HMI)系統(tǒng)。

西門子公司表示，SIMATIC WinCC SmartClient for Android和適用于V1.0.2.2之前的Android版本的SmartClient Lite受到影響。

ICS-CERT在一份咨詢中表示：“成功利用這些漏洞可能會(huì)讓具有特權(quán)網(wǎng)絡(luò)位置的攻擊者讀取和修改傳輸層安全TLS會(huì)話中的數(shù)據(jù)。

該更新解決了一對(duì)缺陷。第一個(gè)是中間人的漏洞，其中現(xiàn)有的TLS實(shí)現(xiàn)可能被濫用以允許攻擊者訪問TLS會(huì)話中的數(shù)據(jù); CVE-2017-6870僅影響適用于Android的WinCC SmartClient。

第二個(gè)錯(cuò)誤CVE-2017-6871是一個(gè)身份驗(yàn)證繞過漏洞。它要求攻擊者可以物理訪問運(yùn)行該軟件的解鎖的Android設(shè)備，并且可以忽略針對(duì)Android的SmartClient Lite的身份驗(yàn)證。