发布日期：2011-03-21
更新日期：2011-03-21

受影响系统：

7-Technologies 7-Technologies Interactive Graphical SCADA System 9
7-Technologies 7-Technologies Interactive Graphical SCADA System 8

描述：

---

BUGTRAQ  ID: 46936
CVE(CAN) ID: CVE-2011-1565

IGSS是用于监控工业流程的SCADA系统。IGSSdataServer.exe是项目启动后端口12401上运行的服务器。opcode 0xd用于文件操作。opcode 0x7用于处理RMS报告模板。

7T Interactive Graphical SCADA System内IGSSdataServer.exe 9.00.00.11063及更早版本在实现上存在目录遍历漏洞，远程攻击者通过发送到TCP端口12401的"..\"序列，读取（opcode 0x3）或创建覆盖（opcode 0x2）任意文件。


<*来源：Luigi Auriemma （aluigi@pivx.com）
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Luigi Auriemma （aluigi@pivx.com）提供了如下测试方法：

http://www.securityfocus.com/data/vulnerabilities/exploits/46936_1.zip

建议：

---

厂商补丁：

7-Technologies
--------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.igss.com/

浏览次数：2188
严重程度：0（网友投票）