Serwisy partnerskie:
Elektronika praktyczna logo Elektronikab2b logo Automatykab2b logo Świat radio logo
Burger icon
Search icon
Close icon
Burger icon
5G,6G
AI-Sztuczna Inteligencja
Arduino
ARM
Audio
Automatyka
Baterie
Bluetooth
DIY
Elektromechanika
Elementy bierne
Fotowoltaika
FPGA
GPS
IoT
Komputery
Komunikacja
LCD
LED
Mechatronika
MEMS
Mikrokontrolery
Moc
Modelarstwo
Moduły
OLED
Optoelektronika
Pamięci
PCB
Półprzewodniki
Pomiary i testy
Pracownia elektronika
Programowanie
Projektowanie
Przetworniki
Raspberry Pi
Retro
Komunikacja, RF
Robotyka
Sensory
Silniki i serwo
SOC/PSoC
Software
Sterowniki
Transformatory
Tranzystory
Układy analogowe
Układy cyfrowe
Układy scalone
Wyświetlacze
Wzmacniacze
Zasilanie
Zegary/timery
Narzędzia
White-arrow rightWszystkie
Burger icon
Search icon
Close icon
Burger icon
5G,6G
AI-Sztuczna Inteligencja
Arduino
ARM
Audio
Automatyka
Baterie
Bluetooth
DIY
Elektromechanika
Elementy bierne
Fotowoltaika
FPGA
GPS
IoT
Komputery
Komunikacja
LCD
LED
Mechatronika
MEMS
Mikrokontrolery
Moc
Modelarstwo
Moduły
OLED
Optoelektronika
Pamięci
PCB
Półprzewodniki
Pomiary i testy
Pracownia elektronika
Programowanie
Projektowanie
Przetworniki
Raspberry Pi
Retro
Komunikacja, RF
Robotyka
Sensory
Silniki i serwo
SOC/PSoC
Software
Sterowniki
Transformatory
Tranzystory
Układy analogowe
Układy cyfrowe
Układy scalone
Wyświetlacze
Wzmacniacze
Zasilanie
Zegary/timery
Narzędzia
White-arrow rightWszystkie
Close icon
Serwisy partnerskie
Elektronika praktyczna logo
Elektronikab2b logo
Świat radio logo
Automatykab2b logo
Strona główna Blog Software Podatność w module WebInterface oprogramowania Telwin SCADA

Podatność w module WebInterface oprogramowania Telwin SCADA

Jakub Tyburski
Blog
Software
Date icon 25 sierpnia 2023
Views icon 316
Views icon CERT Polska
Article Image
Wykryta podatność pozwala choćby na odczyty plików systemowych z uprawnieniami webservera, przez dowolną osobę z dostępem sieciowym do aplikacji. Oznacza to m.in. możliwość pozyskiwania plików konfiguracyjnych, kodów źródłowych aplikacji, czy też wrażliwych plików systemowych.

Do wykorzystania podatności w module WebInterface wystarczy wysłanie do serwera wiernie spreparowanego żądania GET. W tym celu nie jest wymagane uwierzytelnianie do aplikacji. Z pewnością należy upewnić się, że dostęp sieciowy do aplikacji jest ograniczony do minimum i system nie jest wystawiany bezpośrednio do internetu. Jeśli potrzeba dostępu zdalnego, to, w istocie, powinno to być realizowane z pomocą VPN-a z dwuskładnikowym uwierzytelnianiem. Zalecana jest także aktualizacja modułu WebInterface do wersji naprawiającej błądy (6.2, 7.2, 8.1, 9.1 i 10.0) w najbliższym możliwym terminie. W przypadku stosowania wersji bez wsparcia dla poprawek zalecamy aktualizację do wersji posiadającej takie wsparcie. Należy zaznaczyć, że moduł aktualizowany jest razem z główną wersją oprogramowania TelWin SCADA, z czego najnowsza to 7.14.

Więcej informacji pod adresem: cert.pl

Wideo
Firma: CERT Polska
Tagi: Software
Tematyka materiału: CERT Polska, internet, TelWin SCADA, uwierzytelnianie, VPN, WebInterface
AUTOR
Jakub Tyburski
Jakub Tyburski
ZOBACZ WIĘCEJ ARTYKUŁÓW AUTORA Right arrow icon
Źródło
cert.pl
Udostępnij
Zobacz wszystkie quizy
Quiz weekendowy
Edukacja
1/10 Jak działa rezystor LDR?
Oceń najnowsze wydanie EdW
Wypełnij ankietę i odbierz prezent
Blog kategorie
Podzespoły bierne AI-Sztuczna Inteligencja Aparatura Arduino Audio Automatyka Ciekawostki CNC DIY Druk 3d Elektromechanika Felietony Fotowoltaika FPGA/CPLD/SPLD GPS IC-układy scalone Interfejsy IoT Koła Naukowe Komputery Książki Lasery LED/LCD/OLED Mechatronika Mikrokontrolery (MCU,μC) Moc Moduły Narzędzia Optoelektronika PCB/Montaż Podstawy elektroniki Podzespoły bierne Półprzewodniki Pomiary i testy Projektowanie Raspberry Pi Retro Komunikacja, RF Robotyka SBC/SIP/SoC/COM Sensory Silniki i serwo Software Sterowanie Transformatory Tranzystory Wyświetlacze Wzmacniacze Zasilanie
Więcej z tagiem
Przejdź do tagu Right arrow icon
ReactOS zamiast Windowsa? (historia projektu)
ReactOS zamiast Windowsa? (historia projektu)
Kiedy w 1995 roku firma Microsoft wydała swój przełomowy system operacyjny Windows 95, grupa programistów rozp...
Internet Rzeczy bardzo niebezpieczny
Internet Rzeczy bardzo niebezpieczny
Sprawa dotyczy męskich gadżetów erotycznych Cell Mate chińskiej firmy Qiui, które próbowano zhakować stosując ...
Chmurowa implementacja Internetu Rzeczy (IoT) z wykorzystaniem brokerów MQTT
Chmurowa implementacja Internetu Rzeczy (IoT) z wykorzystaniem brokerów MQTT
MQTT (Message Queuing Telemetry Transport) jest standaryzowanym, lekkim protokołem, który przesyła wiadomości ...
Thin client na Arduino
Thin client na Arduino
Czasami komputer jest nam potrzebny tylko do zalogowania się do zdalnej usługi i jego parametry nie mają znacz...
Biblioteka Arduino UNO dla Proteusa
Biblioteka Arduino UNO dla Proteusa
W dzisiejszym poście opiszę bibliotekę Arduino UNO dla Proteusa i wyjaśnię jak z niej korzystać. Następnie prz...
UK Logo
IRA - Informator Rynkowy Automatyki
IRA - Informator Rynkowy Automatyki
WYDANIE: 2024
Kup teraz
IRE - Informator Rynkowy Elektroniki
IRE - Informator Rynkowy Elektroniki
WYDANIE: 2024
Kup teraz
Automatyka, Podzespoły, Aplikacje
Automatyka, Podzespoły, Aplikacje
WYDANIE: 4/2024
Kup teraz
Elektronik
Elektronik
WYDANIE: 4/2024
Kup teraz
Elektronika Praktyczna
Elektronika Praktyczna
WYDANIE: 4/2024
Kup teraz
Elektronika Praktyczna Plus
Elektronika Praktyczna Plus
WYDANIE: 2/2012
Kup teraz
Elektronika dla Wszystkich
Elektronika dla Wszystkich
WYDANIE: 5/2024
Kup teraz
Świat Radio
Świat Radio
WYDANIE: 5-6/2024
Kup teraz
Raspberry Pi
Raspberry Pi
WYDANIE: 2015
Kup teraz
Elektronika dla Wszystkich
Zapisując się na nasz newsletter możesz otrzymać GRATIS
najnowsze e-wydanie magazynu "Elektronika dla Wszystkich"
ZAPISZ SIĘ