【安全通告】AVEVA InduSoft Web Studio and InTouch Edge HMI高危漏洞 (CVE-2018-17916,CVE-2018-17914)

作者:   广州非凡信息安全技术有限公司(总部广州) 2018/12/18 16:24:19 359次阅读 国际

【安全通告】AVEVA InduSoft Web Studio and InTouch Edge HMI高危漏洞
(CVE-2018-17916,CVE-2018-17914)
8ead65c9bfc3741ed54255a695e6c9d4.png
近日,AVEVA发布安全通告称修复了2个工业软件中的高危漏洞。
CVE-2018-17916是一个栈溢出漏洞,攻击者可以发送一个特制的数据包来触发该漏洞,导致在未授权的情况下远程执行代码。
CVE-2018-17914源于一个配置文件中的空密码问题,一个未授权的攻击者可以利用受影响软件的相同权限来远程执行代码。

受影响的版本

 InduSoft Web Studio versions <= 8.1 SP2, and
 InTouch Edge HMI (formerly InTouch Machine Edition) versions <= 2017 SP2


不受影响的版本

 InduSoft Web Studio 8.1 SP2, and
 InTouch Edge HMI (formerly InTouch Machine Edition) 2017 SP2

解决方案

AVEVA官方已经发布了新版本修复了上述漏洞,请受影响的用户尽快更新进行防护。
新版本下载地址如下:
InduSoft Web Studio v8.1 SP2
http://download.indusoft.com/81.2.0/IWS81.2.0.zip

InTouch Edge HMI (formerly InTouch Machine Edition)
https://softwaresupportsp.schneider-electric.com/#/producthub/details?id=5223

更多信息请参考AVEVA官方指导文档:
https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec130.pdf


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室