漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某敏感部门联网车控子公司漏洞(可能会影响大量在用系统/涉及遥感车载实时统计多种系统/可入内网)
提交时间:2015-09-29 10:35
修复时间:2015-11-15 16:16
公开时间:2015-11-15 16:16
漏洞类型:命令执行
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-09-29: 细节已通知厂商并且等待厂商处理中
2015-10-01: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-10-11: 细节向核心白帽子及相关领域专家公开
2015-10-21: 细节向普通白帽子公开
2015-10-31: 细节向实习白帽子公开
2015-11-15: 细节向公众公开
简要描述:
山东航天九通车联网有限公司是军工央企上市公司航天科技控股集团股份有限公司(股票代码000901)控股子公司,山东省科学技术厅授予的高新技术企业和山东省经信委认定的软件企业,是山东省首批生产性服务业重点调度企业(工业物流服务类)和星级物流企业。公司是中国道路运输协会理事单位,山东省交通物流协会常务理事单位和山东省城市公共交通协会常务理事单位,是中国卫星导航定位协会、山东省物联网协会、山东省软件行业协会会员,公司通过了ISO9001质量管理体系认证。目前已有39项产品获国家专利或软件著作权,另有多项产品的相关专利和著作权正在申办过程中。公司自主研发的“车辆监控调度系统”和“基于北斗导航技术的车辆动态信息平台”分别获得了国家火炬计划项目证书和中国卫星导航定位协会科学技术进步奖。
十一年来,公司立足于交通运输行业,专门从事卫星定位技术、物联网技术在交通运输领域的应用研究,凭借丰富的行业经验及雄厚的开发实力,为用户提供以卫星定位及GPRS、RFID、CAN、OBD等感知、测量技术,NoSQL、云计算、云存储等大数据处理技术为基础的移动目标智能管理整体解决方案。经过多年不懈努力,公司发展成研发、运营、服务一体的综合性信息技术服务公司。
山东航天九通车联网有限公司承担“山东省道路运输车辆动态信息应用技术服务平台”(简称“省技术服务平台”)和“山东北斗货运动态信息平台”(简称“北斗货运平台”)的研发、建设、运营和维护工作,为政府部门执法取证和运输企业安全监管提供大数据支持,有力保障了山东省道路运输安全,是国内最大的车联网平台运营商之一。省技术服务平台在全国31个省级平台中第一个接入全国重点运营车辆联网联控系统,实现全国联网联控,并通过了世博会安保实际应用的检验。2012年省技术服务平台又在全国第一批通过部标检测,被交通运输部公布为全国首批符合部颁标准的省级政府监管平台。目前平台直接入网车辆已14万余辆,多年来车辆在线率在全国联网联控平台名列前茅。
山东省被解放军总装备部和交通运输部列为北斗示范工程试点省份后,山东九通作为全省唯一技术支持单位,与政府主管部门和运输企业共同努力,在全国第一个超额完成了示范任务。
2013年公司自主研发的山东北斗货运动态信息平台通过了省级科技成果鉴定,被评价为性能指标优于国内外同类产品,处于国际先进、国内领先地位。
公司长期致力于北斗民用技术和平台大数据的整合应用,以“互联网+”形式,推动车联网与智慧交通、智慧城市融合发展,通过信息资源跨行业应用,促进企业平安、高效、低碳运营,实现合作共赢、创新发展。通过持续的对卫星定位技术和车联网技术的研发和应用,山东九通将努力成为中国最优秀的车联网位置服务公司。
山东九通以服务、合作、共赢为宗旨,遵循诚信、高效、精准、创新的原则,为政府服务:为政府安全监管和科学决策提供准确、及时、可靠的数据支持,实现资源共享,助力智慧交通;为企业服务:提高运输企业管理效率、降低企业运营成本、促进安全运输;为社会服务:开展科技创新,降低运输车辆空驶空载率,降低营运车辆事故发生率,为低碳社会和平安社会的发展做出贡献。
详细说明:
http://**.**.**.**/indexoffice.do 官网存在命令执行 ROOT权限
影响的系统有点多,具体的看下边的图吧,军工类的,这个涉及范围有点广泛。
没敢深入,最近比较敏感
漏洞证明:
数据库配置
pwd=ege
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-10-01 16:14
厂商回复:
CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。
最新状态:
暂无