当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

SPCanywhere SSL证书验证安全限制绕过漏洞(CVE-2015-1596)

     发表日期:2015-03-17 09:52:22

SPCanywhere SSL证书验证安全限制绕过漏洞(CVE-2015-1596)
BugTraq-ID:72972
CVE-ID:CVE-2015-1596
发布日期:2015-03-05
更新日期:2015-03-09
受影响系统:
SPCanywhere SPCanywhere
详细信息:

SPCanywhere是移动应用,可以通过手机远程访问Siemens SPC入侵报警系统。

SPCanywhere在SSL证书验证中存在安全漏洞,如果攻击者可以物理访问受影响设备,即可利用此漏洞获取或修改SSL/TLS保护下的会话数据。此漏洞影响Android及iOS版本。


来源:
Kim Schlyter
参考信息:
http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-185226.pdf
解决办法:
厂商补丁:

Siemens
-------
Siemens已经为此发布了一个安全公告(siemens_security_advisory_ssa-185226)以及相应补丁:
siemens_security_advisory_ssa-185226:SSA-185226: Vulnerabilities in App SPCanywhere
链接:http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-185226.pdf