МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА» (СПбГУТ) Факультет Инфокоммуникационных сетей и систем Кафедра Защищенных систем связи Дисциплина Управление информационной безопасно ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №1 Выявление уязвимостей информационно измерительной системы и способы их устранения. Студенты: Мельник М.В., ИКТБ-17м (Ф.И.О. студента, № группы) (подпись) Федоров П.О., ИКТБ-17м (Ф.И.О. студента, № группы) (подпись) Преподаватель: Поляничева А.В (Ф.И.О. преподавателя) (подпись) 1) Выбранная информационно измерительная система АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами. 2) Уязвимости и способы их устранения BDU:2021-04321: Уязвимость программного обеспечения предназначена для расчета и выбора устройств управления температурными режимами ProClima, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код. Способ устранения Обновление программного обеспечения BDU:2021-04334: Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340, Modicon Quantum, Modicon Premium, связанная с отсутствием аутентификации для критичной функции, позволяющая нарушителю выполнить произвольные команды. Способ устранения Обновление программного обеспечения BDU:2021-04330: Уязвимость микропрограммного обеспечения измерителей мощности и счетчиков электроэнергии PowerLogic ION7400, ION7650, ION83xx/84xx/85xx/8600, ION8650, ION8800, ION9000, PM800, связанная с отсутствием защиты передаваемых данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации. Способ устранения Обновление программного обеспечения BDU:2021-04328: Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340, связанная с недостаточной проверкой необычных или исключительных состояний, позволяющая нарушителю вызвать отказ в обслуживании. Способ устранения Обновление программного обеспечения BDU:2021-04329: Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 RTU, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю выполнить произвольные действия. Способ устранения Обновление программного обеспечения BDU:2021-04323: Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 RTU, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю получить несанкционированный доступ к сетевому трафик по протоколу HTTP. Способ устранения Обновление программного обеспечения BDU:2021-04096: Уязвимость микропрограммного обеспечения сенсорной панели U.motion, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код. Способ устранения Обновление программного обеспечения BDU:2021-03841: Уязвимость программного обеспечения для обновления продуктов Schneider Electric Software Update (SESU), связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код. Способ устранения Обновление программного обеспечения BDU:2021-03317: Уязвимость системы управления ИТ-инфраструктурой HPE OneView для VMware vCenter (OV4VC), связанная с непринятием мер по защите структуры вебстраницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки. Способ устранения Обновление программного обеспечения BDU:2021-01565: Уязвимость интерактивной графической SCADA системы Interactive Graphical SCADA System (IGSS), вызванная выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить чтение или запись произвольных файлов. Способ устранения Обновление программного обеспечения