NETXEIB OPC Server句柄验证远程代码执行漏洞

漏洞信息详情

NETXEIB OPC Server句柄验证远程代码执行漏洞

• CNNVD编号：CNNVD-200703-505
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2007-1313
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2007-03-21
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2009-08-06
  
• 厂        商：
  
  netxautomation
• 漏洞来源：
  Lluis Mora※ llmora…

OPC服务器是工业制造领域中自动化和控制系统所广泛使用的数据访问控制工具。
NETxAUTOMATION所提供的OPC服务器(NETXEIB OPC Server)在实现以下OPC数据访问接口方式时存在多个安全漏洞：
* IOPCSyncIO：：Read
* IOPCSyncIO：：Write
* IOPCServer：：AddGroup
* IOPCServer：：RemoveGroup
* IOPCCommon：：SetClientName
* IOPCGroupStateMgt：：CloneGroup
如果提供了特制的OPC句柄的话攻击者就可以强制服务器读写访问任意内存，导致在OPC服务器上执行任意指令。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：
http://www.netxautomation.com

来源: VU#296593
名称: VU#296593
链接:http://www.kb.cert.org/vuls/id/296593

来源: VUPEN
名称: ADV-2007-1038
链接:http://www.frsirt.com/english/advisories/2007/1038

来源: SECTRACK
名称: 1017803
链接:http://www.securitytracker.com/id?1017803

来源: BID
名称: 23059
链接:http://www.securityfocus.com/bid/23059

来源: BUGTRAQ
名称: 20070322 [NB07-22] Multiple vulnerabilities in NETxEIB OPC server
链接:http://www.securityfocus.com/archive/1/archive/1/463539/100/0/threaded

来源: MISC
链接:http://www.neutralbit.com/advisories/NB07-22.txt

来源: www.kb.cert.org
链接:http://www.kb.cert.org/vuls/id/MIMG-6XEPXN

来源: SECUNIA
名称: 24612
链接:http://secunia.com/advisories/24612

来源: OSVDB
名称: 34440
链接:http://osvdb.org/34440