2019年01月16日,國家信息安全漏洞共享平臺(CNVD)向我司通報了“組態王7.5sp2存在拒絕服務漏洞”。
漏洞描述:Kingview7.5sp2在非正常操作情況下關閉畫面的時候,采用wcslen 判讀字符串長度,而沒有驗證字符串是否可用,造成拒絕服務漏洞。
正常操作:運行后如果存在已經打開的畫面,選擇:畫面->關閉,彈出關閉畫面對話框,這時隨意點擊對話框里的任意地方都不會出現問題,然后選擇已打開畫面,確定關閉。
非正常操作:當運行態沒有畫面打開的時候,選擇:畫面->關閉,彈出關閉畫面窗口,這時只要點擊圖中紅色框中的白色文本框,運行態就會崩潰。
而實際情況是,所有的組態王監控系統運行時都有畫面打開,所以實際中幾乎不會出現此種故障。
針對此漏洞,我司及時采取措施對漏洞進行修復,安全補丁文件詳情如下:
序號 | 漏洞名稱 | 發現時間 | 補丁發布時間 | 補丁文件 | 影響產品 | 修復方法 |
1 | 組態王7.5sp2存在拒絕服務漏洞 | 2019.01 | 2019.01 | KV7.5 SP2 | 替換安裝路徑下相同文件 |
為有效應對以上漏洞帶來的安全威脅,建議還在使用KingView老版本的用戶及時下載補丁文件進行修復。
北京亞控科技發展有限公司
2019年01月18日
