Skip to main content

Argitalpen data: 2022/01/10

Garrantzia:Kritikoa

Kaltetutako baliabideak:

  • SICAM PQ Analyzer, V3.18 bertsioa baino lehenagoko guztiak;
  • Honako hauen V16.20 bertsioaren aurreko guztiak:
    • CP-8000 Master Module, I/O - 25/ 70°C-rekin (6MF2101-0AB10-0AA0);
    • CP-8000 Master Module, I/O - 40/ 70°C-rekin (6MF2101-1AB10-0AA0);
    • CP-8021 Master Module (6MF2802- 1AA00);
    • CP-8022 Master Module GPRS-rekin (6MF2802-2AA00);
  • Honako hauen V8.83 bertsioaren aurreko guztiak:
    • SIPROTEC 5 6MD85 gailuak (CP300 motako CPUa);
    • SIPROTEC 5 6MD86 gailuak (CP300 motako CPUa);
    • SIPROTEC 5 6MD89 gailuak (CP300 motako CPUa);
    • SIPROTEC 5 6MD85 gailuak (CP300 motako CPUa);
    • SIPROTEC 5 7KE85 gailuak (CP300 motako CPUa);
    • SIPROTEC 5 7SA82 gailuak (CP100 motako CPUa);
    • SIPROTEC 5 7SA86 gailuak (CP300 motako CPUa);
    • SIPROTEC 5 7SA87 gailuak (CP300 motako CPUa);
  • PLUSCONTROL 1st Gen, bertsio guztiak;
  • COMOS, V10.4.1 baino lehenagoko bertsio guztiak.

Azalpena:

Siemensek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

Aipatutako ahultasunak konpontzen dituzten eguneraketak Siemensen deskarga paneletik eskura daitezke. Eguneraketarik eskuragarri ez daukaten produktuen kasuan Erreferentziak atalean azaltzen diren arintze neurriak ezartzea gomendatzen da.

Xehetasuna:

Siemensek, segurtasun partxeei buruzko bere hileko komunikatuan, 5 segurtasun ohartarazpen argitaratu ditu.

Dokumentatu gabeko arazketa ataka batean barneratutako pasahitzen erabilpena baliatuz, kredentzial horiek ezagutzen dituen erasotzaile batek arazketa administratiboko shell batera sarbidea lor lezake kaltetutako gailuan, ataka hori erabiltzaile pribilegiatu batek gaituta badago. Larritasun altuko ahultasun horretarako CVE-2021-45033 identifikatzailea erabili da.

Argitaratutako ahultasun mota berriak, kritikoak ez direnak, honako hauek dira:

  • Komatxo artean jarri gabeko bilaketa bidea edo elementua;
  • sarbidearen kontrol desegokia;
  • sarreraren baliozkotze okerra;
  • mota bateraezin bat duten baliabideetarako sarbidea (motaren nahasketa);
  • sarrera datuak oker balioztatzea;
  • desegokia den luzerako balio batekin sarbidea bufferrera;
  • osokoen gainezkatzea;
  • sendotasunik gabeko egiturazko elementuen erabilpen desegokia;
  • web orrialde bateko komandoen sekuentziekin erlazionatutako HTML etiketen neutralizazio okerra (XSS oinarrizkoa);
  • bide izenaren murrizpen okerra murriztutako direktorio batera (Relative Path Traversal);
  • SQL komando batean erabilitako elementu berezien neutralizazio okerra (SQL injekzioa);
  • gurutzatutako guneetan eskaeraren faltsutzea (Cross-Site Request Forgery).

Ahultasun hauetarako esleitutako CVE identifikatzaileak Siemensen ohartarazpen bakoitzaren 'vulnerability classification' atalean kontsulta daitezke.

Encuesta valoración

Etiketak:Eguneraketa, Azpiegitura kritikoak, Siemens, Ahultasuna

Partekatu

Linkedin partekatu