首页 > 清静研究 > 清静转达 > 清静通告

富士电机伺服系统和驱动0day误差清静通告

宣布时间 2018-09-30

误差编号和级别

CVE编号：CVE-2018-14794，危险级别：严重，CVSS分值：厂商自评9.8，官方未评定
CVE编号：CVE-2018-14788，危险级别：中危，CVSS分值：厂商自评5.3，官方未评定

影响版本

Alpha5 Smart Loader Versions 3.7及之前版本

误差概述

ICS-CERT 和趋势科技 ZDI 团队本周披露称，日本富士电机公司的伺服系统和驱动中保存多个未修复的误差。研究员 Michael Flanders 在富士电机的 Alpha 5 智能伺服系统Loader 软件中发明了两个误差。

受影响产品主要用于欧洲和亚洲的商业设施和要害制造行业中，作用是通过调解，使驱动多种机械的电动性能够准确运行。

其中一个误差是严重的堆缓冲区溢出 (CVE-2018-14794) 误差，能导致远程攻击者诱骗目的翻开一个特殊结构的 C5V 文件，从而执行恣意代码。ZDI 在清静通告中指出，“这个问题爆发的缘故原由是在将用户提供的数据复制到一个长度牢靠且基于堆的缓冲之前，缺乏对该数据的准确验证。攻击者能够使用这个误差在治理员上下文中执行恣意代码。”

影响伺服系统的第二个误差是一其中危的缓冲区溢出误差，可导致在处置惩罚特殊结构的 A5P 文件时，敏感信息遭袒露。当团结其它误差使用时，攻击者能够以治理员权限使用该 bug 执行恣意代码。

误差验证

暂无POC\EXP

修复建议

ZDI 给予富士电机120天的时间修复该误差。富士电机本周共宣布5篇清静通告，现在由于尚未推出补丁，因此它们均属于 0day 误差状态。

富士电机公司体现正在推出补丁计划。在此之前，该公司建议用户阻止在受影响应用程序中不受信托的文件。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-18-270-02
https://www.securityweek.com/no-patches-critical-flaws-fuji-electric-servo-system-drives

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

富士电机伺服系统和驱动0day误差清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线