发布日期:2013-08-19
更新日期:2013-08-20
受影响系统:
National Instruments LabWindows
National Instruments CVI
National Instruments LabVIEW
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 61828
CVE(CAN) ID: CVE-2013-5022
美国国家仪器公司(National Instruments)是一家美国公司,从事与测试、控制、设计领域相关的,包括虚拟仪器和电子测试设备等工程软件的开发。著名产品有图形开发环境LabVIEW、C语言虚拟仪器应用系统LabWindows/CVI、集成电路分析程序NI Multisim等等;硬件产品包括VXI总线、PXI总线、VME总线的框架与模块,IEEE-488接口以及内部整合电路和其他自动化技术的标准。
LabVIEW 2012、LabWindows/CVI 2012、Measurement Studio 2013、TestStand 2012等多款NI产品的cw3dgrph.ocx文件中,3D Graph ActiveX控件存在绝对路径遍历漏洞,远程攻击者通过在向ExportStyle方法传递的参数中包含完整路径名,利用此漏洞创建和执行任意文件。
<*来源:Andrea Micalizzi aka rgod
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
National Instruments
--------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: