PT-2014-39: Обход каталога в Honeywell EPKS Уязвимое ПОHoneywell EPKS Версия: R311Ссылка: http://honeywell.com/Рейтинг опасностиУровень опасности: Средний Воздействие: Обход каталога Вектор атаки: УдаленныйCVSS v2: Base Score: 5.0 Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:N) CVE: отсутствуетОписание программы Honeywell Experion PKS - эффективная система управления и обеспечения безопасности, которая расширяет возможности распределенной системы управления. Experion представляет собой безопасную, надежную, масштабируемую, централизованную систему управления, обеспечивающую высокий уровень совместимости на всех этапах деятельности предприятия.Описание уязвимостиСпециалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Обход каталога" в Honeywell EPKS.Уязвимость существует в функции hsc_s_confpnt() модуля confd.exe и связана с отсутствием проверки входных и выходных параметров имени файла на наличие команды, которая позволяет злоумышленнику внедрить файлы, а также запросить ресурсы, используя обход каталога, и просматривать системные файлы.РешениеУстановите последнюю версию программыСтатус уведомления 06.03.2014 - Производителю отправлены детали уязвимости 02.06.2014 - Производитель выпустил исправление 18.11.2014 - Публикация уязвимости БлагодарностиУязвимость обнаружил Кирилл Нестеров (Исследовательский центр Positive Research компании Positive Technologies)Ссылкиhttp://www.securitylab.ru/lab/PT-2014-39Список отчетов о ранее обнаруженных уязвимостях Positive Research:http://www.ptsecurity.ru/lab/advisory/ http://www.securitylab.ru/lab/