|
Mitsubishi Electric GB-50A远程绕过认证漏洞
发布日期:2008-03-22
更新日期:2008-03-24
受影响系统:Mitsubishi Electric GB-50A 描述:
BUGTRAQ ID: 28406
GB-50A是三菱中央空调系统的基于浏览器的管理控制系统。
GB-50A在实现认证机制时存在漏洞,远程攻击者可能利用此漏洞非授权操作空调。
GB-50A Web控制器使用了一组Java applet进行自身交互,而这些applet之间的通讯使用一系列未经认证或加密的xml报文,如果用户知道了所控制空调组的IP地址的话,就可以执行各种非授权操作,包括开关空调或随意设置温度。
<*来源:Chris Withers (chris@simplistix.co.uk)
链接:http://marc.info/?l=bugtraq&m=120620874223377&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负! http://marc.info/?l=bugtraq&m=120620874223377&q=p3
建议:
厂商补丁:
Mitsubishi Electric
-------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mitsubishielectric-mlc.com/product/productdetail.asp?prodid=70
浏览次数:39
严重程度:0(网友投票)
|
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
