发布日期：2019-09-23
更新日期：2019-09-23

受影响系统：

tridium Niagara AX 3.8u4
tridium Niagara 4.7u1
tridium Niagara 4.4u3

描述：

---

CVE(CAN) ID: CVE-2019-13528

Tridium Niagara是开源的基于Java的框架，可以连接嵌入式设备或系统。

Niagara AX 3.8u4，4.4u3，4.7u1版本在实现中存在不正确的授权漏洞，特定的实用程序可利用此漏洞获取特权文件的读取权限。

<*来源：Johannes Eger
        Fabian Ullrich
  *>

建议：

---

厂商补丁：

tridium
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载下列版本：

Niagara AX 3.8u4:
OS Dist: 2.7.402.2
NRE Config Dist: 3.8.401.1
Niagara 4.4u3:
OS Dist: 4.4.73.38.1 NRE Config
Dist: 4.4.94.14.1
Niagara 4.7u1:
OS Dist: (JACE 8000) 4.7.109.16.1
OS Dist (Edge 10): 4.7.109.18.1
NRE Config Dist: 4.7.110.32.1

请联系销售支持渠道或support@tridium.com获取更新。
详细信息，请联系support@tridium.com
请参考:https://www.tridium.com/~/media/tridium/library/documents/collateral/technical%20bulletins/qnx_vulnerability_fix.ashx?la=en
http://support.blackberry.com/kb/articleDetail?articleNumber=000057178

另外建议用户采取下列步骤：
*审核授权用户列表；
*仅允许受信任用户物理访问系统；
*远程访问时，使用VPN或其他方式确保安全

浏览次数：1423
严重程度：0（网友投票）