PT-2013-89: Разрешение внешних сущностей XML в KingSCADA Уязвимое ПОKingSCADA Версия: 31.1.0.46 и, возможно, другиеСсылка: http://www.wellintech.com/index.php/kingscadasideРейтинг опасностиУровень опасности: Средний Воздействие: Доступ к внутренним ресурсам сети и файловой системе, отказ в обслуживании Вектор атаки: УдаленныйCVSS v2: Base Score: 5.8 Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:P) CVE: отсутствуетОписание программыKingSCADA - интерактивная графическая SCADA-система, позволяющая осуществить контроль над промышленными процессами. Описание уязвимостиСпециалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Разрешение внешних сущностей XML" в KingSCADA.Уязвимость существует из-за небезопасной обработки внешних сущности XML. Если злоумышленник заставит пользователя открыть проект, содержащий специально сформированный XML-документ, KingSCADA отошлет содержимое локального или удаленного ресурса на сервер злоумышленника. Эксплуатация данной уязвимости также позволяет злоумышленникам вызвать отказ в обслуживании.РешениеУстановите последнюю версию приложенияСтатус уведомления14.03.2013 - Производителю отправлены детали уязвимостей 27.03.2014 - Производитель выпустил исправление 13.05.2014 - Публикация уязвимости БлагодарностиУязвимость обнаружили Тимур Юнусов, Алексей Осипов и Илья Карпов (Исследовательский центр Positive Research компании Positive Technologies)Ссылкиhttp://www.securitylab.ru/lab/PT-2013-89 Список отчетов о ранее обнаруженных уязвимостях Positive Research:http://www.ptsecurity.ru/lab/advisory/ http://www.securitylab.ru/lab/