BDU:2017-01422

Опубликовано: 14 июн. 2017

Источник: fstec

CVSS2: 6.6

EPSS Низкий

Описание

Уязвимость программного комплекса защиты информации VipNet Client связана с недостаточной проверкой прав доступа к папке с обновлениями и недостаточной проверкой целостности и подлинности файлов обновлений. Эксплуатация уязвимости может позволить нарушителю, действующему локально, создать поддельный файл обновления, содержащий произвольный код, разместить его в папке обновлений, а затем выполнить с системными привилегиями или привилегиями администратора

Вендор

ОАО «ИнфоТеКС»

Наименование ПО

VipNet Client из состава ПКЗИ ViPNet 4

Версия ПО

4.х до версии 4.3 (2.37373) включительно (VipNet Client из состава ПКЗИ ViPNet 4)

3.х (VipNet Client из состава ПКЗИ ViPNet 4)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)

Возможные меры по устранению уязвимости

Обновление программного обеспечения на версию ViPNet Client 4.3.2 (46794).

Пользователям предыдущих версий ViPNet Client рекомендуется создать замкнутую программную среду при помощи ПО ViPNet SysLocker

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9606
CVE

EPSS

Процентиль: 5%

0.00023

Низкий

6.6 Medium

CVSS2

Связанные уязвимости

CVE-2017-9606

CVSS3: 7.3

nvd

больше 8 лет назад

Infotecs ViPNet Client and Coordinator before 4.3.2-42442 allow local users to gain privileges by placing a Trojan horse ViPNet update file in the update folder. The attack succeeds because of incorrect folder permissions in conjunction with a lack of integrity and authenticity checks.

GHSA-6vwh-f528-jv49

CVSS3: 7.3

github

больше 3 лет назад

BDU:2017-01421

fstec