首页 > 清静研究 > 清静转达 > 清静通告

富士电机伺服系统和驱动0day误差清静通告

宣布时间 2018-09-30

误差编号和级别

CVE编号：CVE-2018-14794，危险级别：严重，CVSS分值：厂商自评9.8，官方未评定
CVE编号：CVE-2018-14788，危险级别：中危，CVSS分值：厂商自评5.3，官方未评定

影响版本

Alpha5 Smart Loader Versions 3.7及之前版本

误差概述

ICS-CERT 和趋势科技 ZDI 团队本周披露称，日本富士电机公司的伺服系统和驱动中保存多个未修复的误差。研究员 Michael Flanders 在富士电机的 Alpha 5 智能伺服系统Loader 软件中发明了两个误差。

受影响产品主要用于欧洲和亚洲的商业设施和要害制造行业中，作用是通过调解，使驱动多种机械的电动性能够准确运行。

其中一个误差是严重的堆缓冲区溢出 (CVE-2018-14794) 误差，能导致远程攻击者诱骗目的翻开一个特殊结构的 C5V 文件，从而执行恣意代码。ZDI 在清静通告中指出，“这个问题爆发的缘故原由是在将用户提供的数据复制到一个长度牢靠且基于堆的缓冲之前，缺乏对该数据的准确验证。攻击者能够使用这个误差在管理员上下文中执行恣意代码。”

影响伺服系统的第二个误差是一其中危的缓冲区溢出误差，可导致在处置惩罚特殊结构的 A5P 文件时，敏感信息遭袒露。当团结其它误差使用时，攻击者能够以管理员权限使用该 bug 执行恣意代码。

误差验证

暂无POC\EXP

修复建议

ZDI 给予富士电机120天的时间修复该误差。富士电机本周共宣布5篇清静通告，现在由于尚未推出补丁，因此它们均属于 0day 误差状态。

富士电机公司体现正在推出补丁计划。在此之前，该公司建议用户阻止在受影响应用程序中不受信任的文件。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-18-270-02
https://www.securityweek.com/no-patches-critical-flaws-fuji-electric-servo-system-drives

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯官网入口

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯官网入口

清静研究

富士电机伺服系统和驱动0day误差清静通告

关于尊龙凯官网入口

解决计划

清静研究

联系尊龙凯官网入口

7*24小时服务热线