关键信息 漏洞描述 漏洞编号: VDE-2024-050 发布日期: 2024-08-27 10:00 (CEST) 更新日期: 2024-08-27 08:57 (CEST) 供应商: Beckhoff Automation GmbH & Co. KG 受影响产品: - MDP package (< 1.2.7.0) - TwinCAT/BSD (< 14.1.2.0_153968) 漏洞详情 漏洞类型: Stack-based Buffer Overflow (CWE-121) 漏洞描述: MDP package 包含在 TwinCAT/BSD 中,允许已认证的本地攻击者通过构造的 HTTP 请求在用户“root”上下文中引发拒绝服务 (DoS) 条件并执行代码。 影响 影响: 本地攻击者可以通过构造的 HTTP 请求在用户“root”上下文中引发拒绝服务或执行代码。 解决方案 缓解措施: 避免目标上存在具有登录权限的用户账户,除了管理员访问。默认情况下,TwinCAT/BSD 已预配置具有较低权限的用户账户,但它们都没有密码,因此被拒绝登录访问。避免在目标上运行未经充分审计的第三方应用程序,无论它们正在运行的用户是谁。 修复建议: 更新受影响产品的最新版本。贝克霍夫建议更新整个 TwinCAT/BSD 操作系统到最新版本,而不是单独的包。有关更新现有 TwinCAT/BSD 安装的信息,请参阅此处。您还可以通过命令行确定操作系统的版本。这也可以通过 Beckhoff Device Manager UI 查看。 注意: 当从 TwinCAT/BSD 主要版本 12 更新时,需要连续进行两次升级。 报告者 报告者: CERT@VDE 协调与 Beckhoff 报告者: Andrea Palanca of Nozomi Networks 其他信息 CVE 编号: CVE-2024-41176 严重性: 6.5 (CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L) 最后更新: 2024-08-22, 9:35 a.m. 受影响版本: MDP package (< 1.2.7.0), TwinCAT/BSD (< 14.1.2.0_153968)