发布日期：2019-09-12
更新日期：2019-09-18

受影响系统：

codesys CODESYS Control for BeagleBone < 3.5.15.0
codesys CODESYS Control for emPC-A/iMX6
codesys CODESYS Control for IOT2000
codesys CODESYS Control for PFC100
codesys CODESYS Control for PFC200
codesys CODESYS Control for Raspberry Pi
codesys CODESYS Control RTE V3
codesys CODESYS Control RTE V3 (for Beckhoff CX)
codesys CODESYS Control Win V3 (part of the CODESYS Development System setup)
codesys CODESYS Control V3 Runtime System Toolkit
codesys CODESYS HMI V3

描述：

---

CVE(CAN) ID: CVE-2019-9008

CoDeSys 是一种功能强大的PLC软件编程工具。

包含CmpUserMgr组件的CODESYS V3运行时系统3.5.15.0之前版本在实现上存在权限管理漏洞，在线用户管理可能不正确地分配对子对象的访问权限，使已登录用户获取未授权访问某些功能及信息。

<*来源：vendor
　
  *>

建议：

---

厂商补丁：

codesys
-------
目前3S-Smart Software Solutions GmbH已经发布了3.5.15.0修复了这个安全问题，请到厂商的主页下载：

https://www.codesys.com/download/
https://customers.codesys.com/fileadmin/data/customers/security/CODESYS-Security-Whitepaper.pdf
https://www.codesys.com/fileadmin/data/customers/security/2019/Advisory2019-04_CDS-65847.pdf


另外，建议用户采用下列通用防御措施以降低风险：
*在受保护环境中使用控制器及设备，以降低网络暴露风险；
*运用防火墙从其他网络中分离控制系统网络；
*如果需要远程访问，使用VPN；
*激活并应用用户管理及密码功能；
*通过物理方法等限制访问权限；
*使用最新的病毒检测产品。

浏览次数：1694
严重程度：0（网友投票）