安全门户

信任中心更新 协同漏洞披露(CVD)与Ignition的主要公共信息渠道. 请订阅十大外围足彩网站排行榜的电子邮件更新. 帖子和相关的电子邮件总结了与十大外围足彩网站相关的漏洞, 问题, 影响, 和建议. 技术咨询链接通常会包括额外的信息.

电感式自动化以稳定性方面的重大投资而自豪, 安全, 质量, 以及贯穿整个Ignition安全软件开发生命周期(SDLC)和相关过程的隐私. 这包括承诺优先解决问题, 主动寻找漏洞, 对十大外围足彩网站排行榜优秀的社区保持透明. 十大外围足彩网站排行榜喜欢雇佣定期的第三方渗透测试并参与 S4x Pwn2Own全球 每年的比赛!

建议:电感式自动化提供资源，如 十大外围足彩网站安全加固指南 和 十大外围足彩网站服务器大小和架构指南. 的 在线用户手册, 归纳大学, 论坛，也提供免费资源. 带薪培训 也是可用的.

感应自动化建议与成千上万的十大外围足彩网站之一 系统集成商 在整个系统生命周期中，谁可以根据业务需求，帮助导航在客户环境中保护和确保十大外围足彩网站的过程.

报告和沟通:感应自动化欢迎所有的反馈，特别是与安全有关的问题. 最好的电子邮件地址是: 安全@szsjinhong.com，使用 感应自动化公共PGP密钥 如果需要加密通信. 支持，客户代表和销售工程师也可以提供帮助.

感应自动化修复了一个由零日计划(ZDI)披露的RCE漏洞, 由Team82 (Claroty)和20urdjk“Urge”安全研究人员独立开发，作为ICS Pwn2own 2023道德黑客竞赛的一部分. 更新将包括在8.1.26，在2月17日的“夜间”版本中可用.

http://account.szsjinhong.com/downloads/ignition/

ZDI、Claroty、“Urge”以及归纳自动化开发和QA团队的出色工作!!!

公告. 感应自动化将再次参加ICS/ scada主题的Pwn2Own活动 S4x 在迈阿密的“OPC UA服务器”和“OPC UA客户端”类别. 攻击场景包括:拒绝服务(DOS), 远程代码执行(RCE), 凭据盗窃, 和绕过可信应用程序检查. 其他类别包括“数据网关”和“边缘”.

祝所有参与者好运! 发现并修复漏洞后的更新!

ZDI公告

假阳性. 最佳实践配置建议是强制使用http (TLS 1).2+)持有符合本规定的正品证书 十大外围足彩网站安全加固指南，最好启用HSTS.

Background. 一些网络安全扫描工具会标记URL字符串，如“国内流离失所者/违约/ authn /登录?令牌= xxxx，假设令牌是会话标识符. 事实并非如此. 令牌是一个具有短“生存时间”值的加密nonce. Ignition使用令牌来协调内部Ignition身份提供者的OpenID连接授权端点和身份验证工作流之间的切换. 这与可能出现在同一URL字符串中的nonce变量是分开的.

令牌绑定到用户的会话，该会话由HTTP头中传递的HTTP cookie跟踪. 当Ignition正确配置为使用http时，会话cookie受到保护. 因此, 因此，只要用户的会话是安全的, 关联的令牌也是安全的, 即使它们被泄露了, 因为攻击者必须知道会话ID才能使用令牌.

信息. 十大外围足彩网站不受OpenSSL漏洞的影响 in cve - 2022 - 3786 和 cve - 2022 - 3602. 无需任何操作.

在对违规库的使用情况进行全面搜索之后, 感应式自动化已确定十大外围足彩网站无依赖, 没有发现OpenSSL 3的证据.0.x.

信息. 建议升级到十大外围足彩网站8.1.23+. 十大外围足彩网站8版本8之前.1.其中23个与Apache Commons Text库的一个易受攻击版本捆绑在一起. 然而, 感应式自动化基于十大外围足彩网站不会调用任何易受攻击的功能这一事实来评估“低风险”的漏洞. 换句话说, 本地网络安全扫描工具可能会注意到二进制文件的存在, 但相关的攻击不太可能奏效.

Version 8.1.23+将依赖项更新为1.10.0，表示修复CVE.

技术咨询链接.

信息. 低的影响. 升级到8.1.23+修复. 十大外围足彩网站8版本8之前.1.23不能正确处理存储在8的预发布(Alpha和Beta)版本中的SVG图像.x(2019年4月10日前).

的 科技咨询 提供升级说明.

信息. 十大外围足彩网站版本8.1.22, 发布11/1/2022, 包括其内部数据库(SQLite)的更新版本，它需要在运行在ARMv6和ARMv7硬件上的Linux系统上使用更新版本的GLIBC.

ARMv6和ARMv7硬件上所需的最小GLIBC版本将从v2开始增加.4至v2.28. 因此, 一些带有旧版本GLIBC的旧操作系统将无法运行新版本的Ignition.

x86-64硬件上所需的最小GLIBC版本仍然是v2.3.

已知的影响: Debian 9及其衍生产品，如Raspbian 9 Debian 9于2022年6月30日达到EOL状态

技术咨询链接.

将十大外围足彩网站更新到8.1.8或更大. 7月26日, 2022年，网络安全和基础设施安全局(CISA)发布了一份工业控制系统(ICS)咨询 icsa - 22 - 207 - 01 披露Ignition安全漏洞 cve - 2022 - 1704 这个问题在版本8中得到了修补.1.8.

如果特权十大外围足彩网站用户恢复恶意制作的备份文件，该漏洞使攻击者能够破坏十大外围足彩网站网关.

技术咨询链接

配置十大外围足彩网站网关MS SQL Server连接使用TLS 1.2 or 1.3. Java 8 (8u291+)和相应的Java 11 (11u291 +).0.11+)安全更新禁用TLS 1的使用.0和1.1，这是推荐的网络安全最佳实践. 建议的修复是将十大外围足彩网站网关(不是单独的Vision或Perspective运行时客户端)上的MS SQL Server数据库连接更新到TLS 1.2 or 1.3. 这可能需要更改数据库服务器上的配置。. 寻求IT部门的支持.

IA的 科技咨询 包括来自微软的链接. 另外，它还描述了如何配置Java以使用安全性较低的TLS 1进行连接.0 or 1.1(不推荐).

将十大外围足彩网站更新到8.1.17岁或以上. 2022年4月19日至21日，趋势科技 零日攻击计划(ZDI) 将他们的Pwn2Own比赛第二次带回了ICS世界 S4x22会议. 在S4x20的ICS Pwn2Own成功后，感应自动化积极参与.

Pwn2Own比赛共收到11位参赛选手的32份参赛作品. 瞄准十大外围足彩网站的6个条目, 4 .成功展示了独特的漏洞, 我是复制品, 我没有在规定的时间内成功演示. 所有针对十大外围足彩网站的6个条目都被负责任地披露给感应自动化. 另一项发现是由无法参与竞争的研究人员单独披露的.

感应自动化感谢ZDI和所有参与的研究人员.

看到 科技咨询 详细信息.

信息. Ignition不再支持原生Active Directory用户源配置文件(基于LDAP)的单点登录(SSO). 使用此技术集不会有“修复”. 这意味着用户必须分别登录到Windows和Ignition环境(Designer, 网关, 和客户). 感应式自动化建议使用现代的 OpenID连接 or SAML 协议. 对于微软环境，这可能是 AzureAD 或者很多其他选择.

技术咨询链接

没有已知的十大外围足彩网站冲击. 4月13日, 2022年，网络安全和基础设施安全局(CISA)发布了国家网络意识系统(NCAS)警报 icsa - 22 - 102 - 03 (pdf报告)，其中提到了针对OPC-UA的高级持续威胁(APT)工具. 看到 OPC基金会回应.

技术咨询链接

将十大外围足彩网站更新到8.1.0或更大. 4月12日, 2022年，网络安全和基础设施安全局(CISA)发布了一份工业控制系统(ICS)咨询 icsa - 22 - 102 - 03 泄露十大外围足彩网站 安全漏洞 这个问题在版本8中得到了修补.1.10.

如果特权十大外围足彩网站用户恢复恶意制作的备份文件，该漏洞允许攻击，允许在Ignition网关的主机操作系统上放置任意文件.

技术咨询链接

信息. inductautomation完成了对Ignition中直接和传递依赖项的全面审计，以确认log4j漏洞不会应用于任何受支持或不受支持的Ignition版本, 因此它不容易受到中概述的RCE的影响 cve - 2021 - 44228 或电锯GUI漏洞相关的 cve - 2022 - 23307. 这包括LTS版本7.9和8.1，以及所有过去和非lts版本.

技术咨询链接.

信息. 回归披露. 安装十大外围足彩网站装置8.1.8将网口复位为默认值(http=8080, http=8043, 网关 network =8060). 这个版本很快被删除并更新为8.1.9. 采取了质量保证补救措施.

技术咨询链接.

信息. 回归披露. 安装十大外围足彩网站装置8.1.6在导入用户定义类型(UDT)标记时引入了一个问题. 这个版本很快被删除并更新为8.1.7. 采取了质量保证补救措施.

技术咨询链接.