今日頭條
官方微信
官方抖音
資訊頻道 來(lái)源:國(guó)家信息安全漏洞共享平臺(tái) 報(bào)送者:啟明星辰
CNVD-ID CNVD-2014-04231
發(fā)布時(shí)間 2014-07-11
危害級(jí)別 高 (AV:N/AC:L/Au:N/C:P/I:P/A:P)
影響產(chǎn)品 Yokogawa Electric Corporation CS3000
BUGTRAQ ID 68428
CVE ID CVE-2014-3888
漏洞描述 日本橫河電機(jī)株式會(huì)社(YOKOGAWA)是一個(gè)全球著名的測(cè)量、工業(yè)自動(dòng)化控制、和信息系統(tǒng)的領(lǐng)導(dǎo)者。
Yokogawa多個(gè)產(chǎn)品'BKFSim_vhfd.exe'存在緩沖區(qū)溢出漏洞,由于多個(gè)YOKOGAWA產(chǎn)品“BKFSim_vhfd.exe”服務(wù)中的sub_403E10” (IDA notation)函數(shù)用于記錄功能,函數(shù)在使用用戶可控?cái)?shù)據(jù)來(lái)創(chuàng)建日志時(shí)使用類似vsprintf和memcpy函數(shù),可導(dǎo)致攻擊者觸發(fā)緩沖區(qū)溢出,可使應(yīng)用程序崩潰或以應(yīng)用程序上下文執(zhí)行任意代碼。
參考鏈接community.rapid7.com/community/metasploit/blog/2014/07/07/r7-2014-06-disclosure-yokogawa-centum-cs-3000-bkfsimvhfdexe-buffer-overflow
漏洞解決方案 目前沒(méi)有詳細(xì)解決方案提供:
http://www.yokogawa.com/dcs/products/cs3000/overview/dcs-3k-0101en.htm
漏洞發(fā)現(xiàn)者 juan vazquez
廠商補(bǔ)丁 (無(wú)補(bǔ)丁信息)
驗(yàn)證信息 已驗(yàn)證
報(bào)送時(shí)間 2014-07-10
收錄時(shí)間 2014-07-11
更新時(shí)間 2014-07-11
漏洞附件 (無(wú)附件)
在發(fā)布漏洞公告信息之前,CNVD都力爭(zhēng)保證每條公告的準(zhǔn)確性和可靠性。然而,采納和實(shí)施公告中的建議則完全由用戶自己決定,其可能引起的問(wèn)題和結(jié)果也完全由用戶承擔(dān)。是否采納我們的建議取決于您個(gè)人或您企業(yè)的決策,您應(yīng)考慮其內(nèi)容是否符合您個(gè)人或您企業(yè)的安全策略和流程。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)