Schneider Electric Magelis Web Server Resource Exhaustion 拒绝服务漏洞

CVE编号

CVE-2016-8374

利用情况

暂无

补丁情况

N/A

披露时间

2017-02-14

漏洞描述

Schneider Electric Magelis HMI Magelis GTO Advanced Optimum panels等都是法国施耐德电气（Schneider Electric）公司的HMI人机面板系列产品。 多款Schneider Electric产品中存在拒绝服务漏洞。攻击者利用漏洞可破坏目标web服务器，导致服务器拒绝服务，设备重启。

解决建议

厂商尚未提供漏洞修补方案，请关注厂商主页及时更新：http://www.schneider-electric.com/

参考链接
http://www.securityfocus.com/bid/94093
https://ics-cert.us-cert.gov/advisories/ICSA-16-308-02

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	schneider_electric	magelis_gto_advanced_optimum_panel_firmware	-	-
	运行在以下环境
	系统	schneider_electric	magelis_gtu_universal_panel_firmware	-	-
	运行在以下环境
	系统	schneider_electric	magelis_sto5_small_panel_firmware	-	-
	运行在以下环境
	系统	schneider_electric	magelis_stu_small_panel_firmware	-	-
	运行在以下环境
	系统	schneider_electric	magelis_xbt_gh_advanced_hand-held_panel_firmware	-	-
	运行在以下环境
	系统	schneider_electric	magelis_xbt_gk_advanced_touchscreen_panel_with_keyboard_firmware	-	-
	运行在以下环境
	系统	schneider_electric	magelis_xbt_gtw_advanced_open_touchscreen_panel_firmware	-	-
	运行在以下环境
	系统	schneider_electric	magelis_xbt_gt_advanced_touchscreen_panel_firmware	-	-
	运行在以下环境
	硬件	schneider_electric	magelis_gto_advanced_optimum_panel	-	-
	运行在以下环境
	硬件	schneider_electric	magelis_gtu_universal_panel	-	-
	运行在以下环境
	硬件	schneider_electric	magelis_sto5_small__panel	-	-
	运行在以下环境
	硬件	schneider_electric	magelis_stu_small__panel	-	-
	运行在以下环境
	硬件	schneider_electric	magelis_xbt_gh_advanced_hand-held_panel	-	-
	运行在以下环境
	硬件	schneider_electric	magelis_xbt_gk_advanced_touchscreen_panel_with_keyboard	-	-
	运行在以下环境
	硬件	schneider_electric	magelis_xbt_gtw_advanced_open_touchscreen_panel	-	-
	运行在以下环境
	硬件	schneider_electric	magelis_xbt_gt_advanced_touchscreen_panel	-	-

CVSS3评分 7.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 无

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）

Exp相关链接

• https://github.com/0xICF/PanelShock

- avd.aliyun.com