首页 > 清静研究 > 清静转达 > 清静通告

Johnson Controls Kantech EntraPass严重误差危害通告

宣布时间 2020-03-11

误差编号和级别

CVE编号：CVE-2019-7589，，，，危险级别：严重，，，，CVSS分值：厂商自评：9.8，，，，官方未评定

影响版本

Kantech EntraPass security management software如下版本：

Corporate Edition: v8.10之前所有版本

Global Edition: v8.10之前所有版本

误差概述

Johnson Controls Kantech EntraPass是美国江森自控（JohnsonControls）公司的安防治理系统。。。。。

Johnson Controls Kantech EntraPass中的SmartService API效劳选项保存一个误差，，，，未经授权的用户可能会使用此误差将恶意代码上载到效劳器，，，，该效劳器可以以系统级权限执行。。。。。

误差验证

暂无PoC/EXP。。。。。

修复建议

现在官方已宣布新版本8.10修复误差，，，，链接：https://www.johnsoncontrols.com/cyber-solutions/security-advisories。。。。。

缓解步伐：按如下办法禁用SmartService API。。。。。

1. Disable "Use Web Service" within the EntraPass Software.

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2. Disable the SmartService from an admin command prompt.

sc config “Kantech.SmartService” start=disabled

sc stop “Kantech.SmartService”

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

3. Uninstall the SmartService API from Apps & features.

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

参考链接

https://www.us-cert.gov/ics/advisories/icsa-20-070-04

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Johnson Controls Kantech EntraPass严重误差危害通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线