SPCanywhere SSL证书验证安全限制绕过漏洞(CVE-2015-1596)
发表日期:2015-03-17 09:52:22
SPCanywhere SSL证书验证安全限制绕过漏洞(CVE-2015-1596)
BugTraq-ID:72972
CVE-ID:CVE-2015-1596
发布日期:2015-03-05
更新日期:2015-03-09
受影响系统:
SPCanywhere SPCanywhere
详细信息:
SPCanywhere是移动应用,可以通过手机远程访问Siemens SPC入侵报警系统。
SPCanywhere在SSL证书验证中存在安全漏洞,如果攻击者可以物理访问受影响设备,即可利用此漏洞获取或修改SSL/TLS保护下的会话数据。此漏洞影响Android及iOS版本。
来源:
Kim Schlyter
参考信息:
http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-185226.pdf
解决办法:
厂商补丁:
Siemens
-------
Siemens已经为此发布了一个安全公告(siemens_security_advisory_ssa-185226)以及相应补丁:
siemens_security_advisory_ssa-185226:SSA-185226: Vulnerabilities in App SPCanywhere
链接:http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-185226.pdf