Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek XXVI.

Honeywell Uniformance PHD DoS-sérülékenység

2016. április 13. - icscybersec

Az ICS-CERT tegnap hozta nyilvánosságra a Honeywell Uniformance Process History Database (PHD) nevű termékének az US-CERT által március 10-e óta ismert, szolgáltatás-megtagadást lehetővé tevő sérülékenységét. A hiba, ami a Uniformance PHD R310-es, R320-as és R321-es verzióit értinti, az RDISERVER komponens egy puffer-túlcsordulás kihasználására építve teszi lehetővé a sérülékeny eszközök elleni DoS-támadást.

A Honeywell már publikálta a hibát javító patch-et, amit az alkalmazásához készített leírással együtt az SN 2016-01-27-es számú Honeywell’s Security Notification tartalmaz.

Az ICS-CERT ezúttal is a már szokásosnak tekinthető kockázat-csökkentő intézkedések elvégzését is javasolja minden, a sérülékenység által érintett eszközt használó szervezetnek:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettel;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

További részletek az ICS-CERT bejelentésében találhatóak: https://ics-cert.us-cert.gov/advisories/ICSA-16-070-02

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr898603764

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása