工业互联网安全应急响应中心:关于Domoticz SQL注入漏洞的情况通报

栏目: 编程工具 · 发布时间: 5年前

内容简介:2019年5月15日,国家信息安全漏洞共享平台CNVD收录了Domoticz SQL注入漏洞。CNCERT下属的工业互联网安全应急响应中心(http://www.ics-cert.org.cn)针对漏洞情况进行了分析,并对国内相关联网资产进行了在线监测,具体情况通报如下:Domoticz系统是一个轻量级的智能家居系统 ,通过它可以监测和控制各种设备,包括灯和开关以及各种传感器、仪表。安全研究人员发现,在Domoticz系统中存在SQL注入漏洞。分析表明,该漏洞是由于系统未对用户输入的SQL语句进行安全验证造

2019年5月15日,国家信息安全漏洞共享平台CNVD收录了Domoticz SQL注入漏洞。CNCERT下属的工业互联网安全应急响应中心(http://www.ics-cert.org.cn)针对漏洞情况进行了分析,并对国内相关联网资产进行了在线监测,具体情况通报如下:

一、漏洞情况分析

Domoticz系统是一个轻量级的智能家居系统 ,通过它可以监测和控制各种设备,包括灯和开关以及各种传感器、仪表。

安全研究人员发现,在Domoticz系统中存在 SQL 注入漏洞。分析表明,该漏洞是由于系统未对用户输入的SQL语句进行安全验证造成的。攻击者可利用该漏洞执行非法SQL命令。

二、漏洞影响范围

该产品漏洞的综合评级为“高危”。

根据生产厂商以及漏洞研究者的测试结果,该漏洞影响设备为:

  • Domoticz 4.10578之前版本

截止当前,中心通过监测手段发现了若干暴露在互联网上的相关设备,详细信息见附录一、二。

三、漏洞处置建议

目前厂商已发布更新版本,建议使用此设备的用户及时更新。

详情请关注厂商网站的相关信息:https://github.com/domoticz/domoticz/commit/ee70db46f81afa582c96b887b73bcd2a86feda00

此外,建议相关用户应采取的其他安全防护措施如下:

(1)最大限度地减少所有控制系统设备和/或系统的网络暴露,并确保无法从Internet访问。

(2)定位防火墙防护的控制系统网络和远程设备,并将其与业务网络隔离。

(3)当需要远程访问时,请使用安全方法如虚拟专用网络(VPN),要认识到VPN可能存在的漏洞,需将VPN更新到最新版本。

相关安全公告链接参考如下:

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14254

附录一 国内暴露在互联网的该漏洞相关网络资产信息

省份

数量

省份

数量

浙江

105

河北

11

北京

77

内蒙古

8

上海

75

湖北

5

陕西

73

新疆

5

江苏

55

江西

4

广东

41

辽宁

2

四川

39

云南

1

山东

26

安徽

1

湖南

16

重庆

1

广西

15

贵州

1

福建

13

吉林

1

附录二 国内暴露在互联网的该漏洞相关网络资产分布图

工业互联网安全应急响应中心:关于Domoticz SQL注入漏洞的情况通报

声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上所述就是小编给大家介绍的《工业互联网安全应急响应中心:关于Domoticz SQL注入漏洞的情况通报》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

XSS跨站脚本攻击剖析与防御

XSS跨站脚本攻击剖析与防御

邱永华 / 人民邮电出版社 / 2013-9-1 / 49.00元

《XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击都不容忽视。第3章 XSS测试和利用工具,介绍了一些常见的XSS测试工具。第4......一起来看看 《XSS跨站脚本攻击剖析与防御》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具