企业资料通过认证 德国赫斯曼自动化和控制公司创立于1924年,业务分布在自动化通讯领域,产品范围包括采用模拟和数字广播电视传输技术的移动发射和接收系统,企业和工业网络解决方案以及现场总线系统。赫斯曼在2007年被美国百通(Belden)公司收购。赫斯曼HiOS和HiSecOS都是百通推出的安全操作系统。
根据百通发布的安全公告信息,HiOS和HiSecOS的HTTP(S)web server中存在一个缓冲区溢出漏洞,远程攻击者可利用该漏洞入侵目标设备。利用该漏洞无需身份认证。该漏洞的存在是由于对URL参数的解析不当引起的。攻击者可以借助特制的HTTP请求利用该漏洞造成内部缓冲区溢出。
该漏洞编号为CVE-2020-6994,CVSS v3评分为9.8。百通在公告中致谢了报告漏洞的两名研究人员,来自德国GAI NetConsult公司的Sebastian Krause和Toralf Gimpel。
使用HiOS 07.0.02及之前版本的赫斯曼RSP,RSPE,RSPS,RSPL,MSP,EES, EESX,GRS,OS,RED交换机,和使用HiSecOS0 3.2.00及之前版本的赫斯曼EAGLE 20/30防火墙受到该漏洞的影响。
厂商已修复该漏洞,建议HiOS用户尽快更新至07.0.03或更高版本,HiSecOS用户更新至03.3.00或更高版本。
作为一种变通措施,百通也建议用户使用“IP访问限制”功能,限制HTTP和HTTPS对可信IP地址的访问,或者禁用HTTP和HTTPS服务器。