В продуктах Metasys и BCPro от Johnson Controls исправлена уязвимость
Уязвимость в Metasys и BCPro позволяет раскрыть информацию.
В продуктах Metasys и BCPro американской компании Johnson Controls исправлена уязвимость (CVE-2018-10624), позволяющая раскрыть информацию через сообщение об ошибке. Осуществить атаку с ее помощью можно из примыкающей сети, обладая лишь базовыми техническими навыками. По системе оценивания опасности CVSS v3 уязвимость получила 4,3 балла из максимальных 10. Проблема связана с некорректной обработкой ошибок в HTTP-соединении с сервером. Успешно проэксплуатировав уязвимость, злоумышленник может получить полезную техническую информацию о серверах Metasys или BCPro и с ее помощью осуществить дальнейшие атаки.
Проблема затрагивает версии Metasys System 8.0 и более ранние, а также все версии BCPro (BCM) до 3.0.2. Уязвимость была исправлена в Metasys 8.1 в апреле 2016 года, однако пользователям рекомендуется установить актуальную версию 9.0. Также проблема была устранена в BCPro Workstation в BCPro 3.0 (октябрь 2017 года) и BACnet Router and Gateway в BCPro 3.0.2 (июнь 2018 года).