Skip to main content

Argitalpen data: 2022/03/08

Garrantzia:Kritikoa

Kaltetutako baliabideak:

  • Climatix POL909:
    • AWB module: V11.44 bertsioak;
    • AWM module: V11.36 bertsioak.
  • COMOS: V10.4 bertsioak;
  • Mendix Applications:
    • Mendix 7: V7.23.29 bertsioak;
    • Mendix 8: V8.18.16 bertsioak;
    • Mendix 9: bertsio guztiak.
  • Mendix forgot password modulua Appstore-n:
    • >= V3.3.0 V3.5.1 bertsio guztiak;
    • Mendix 7 bateragarria: V3.2.2 bertsio guztiak baina soilik CVE-2022-26314-ek kaltetuak.
  • Polarion Subversion Webclient: V21 R1;
  • RUGGEDCOM, SSA-256353, SSA-406691, SSA-594438 eta SSA-764417-n zerrendatutako modelo eta bertsio ezberdinetako hirugarrenen gailu eta osagaiak;
  • Simcenter STAR-CCM Viewer: V2022.1 bertsioak;
  • SIMOTICS CONNECT 400:
    • V0.5.0.0 bertsio guztiak;
    • V1.0.0.0 bertsio guztiak baina soilik hauek kaltetuak: CVE-2021-31344, CVE-2021- 31346 eta CVE-2021-31890.
  • SINEC NMS: bertsio guztiak;
  • SINUMERIK:
    • MC: V1.15 SP1 bertsioak;
    • ONE: V6.15 SP1 bertsioak.
  • SINEC INS: V1.0.1.1 bertsioak.

Azalpena:

Siemensek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

Aipatutako ahultasunak konpontzen dituzten eguneraketak Siemensen deskarga paneletik eskura daitezke. Eguneraketarik eskuragarri ez daukaten produktuen kasuan Erreferentziak atalean azaltzen diren arintze neurriak ezartzea gomendatzen da.

Xehetasuna:

Siemensek, segurtasun partxeei buruzko bere hileko komunikatuan 31 segurtasun ohartarazpen argitaratu ditu, horietatik 16 eguneraketak.

  • Mendix Forgot Password Appstore moduluak bi ahultasun ditu, eta horiek baliatuz baimendu gabeko erabiltzaileek kontuen kontrola eskura lezakete. Ahultasun horietarako, bata kritikoa eta bestea altua, CVE-2022-26313 eta CVE-2022-26314 identifikatzaileak erabili dira, hurrenez hurren.
  • Node.js, cURL, SQLite, CivetWeb eta DNS (ISC BIND) bezalako hirugarrenen osagaietan dauden 71 ahultasun baliatuz, erasotzaile batek modu ezberdinetara eragin liezaioke kaltetutako produktuari. Ahultasun kritiko horietarako CVE-2019-19317, CVE-2019-19646, CVE-2020-11656, CVE-2020-27304, CVE-2021-3711, CVE-2021-22930, CVE-2021-22931, CVE-2021-22945 eta CVE-2021-25216 identifikatzaileak erabili dira.
  • RUGGEDCOM ROX eta NSS gailuetako hirugarrenen osagai batek duen ahultasun bat baliatuz, erasotzaile batek kodea exekuta lezake urrunetik edo zerbitzuaren ukapen egoera bat eragin, segurtasun ziurtagiriak egiaztatzeko duen modua dela eta. Ahultasun kritiko horretarako CVE-2021-43527 identifikatzailea erabili da.

Argitaratutako ahultasun mota berriak, kritikoak ez direnak, honako hauek dira:

  • datu sentikorrak iraultzeko eta aldatzeko gaitasuna;
  • informazioa filtratzea edo kodea urrunetik exekutatu ahal izatea uneko prozesuaren testuinguruan;
  • akats bat eragitea eta, era berean, kode arbitrarioa exekutatu ahal izatea edo datuak atera ahal izatea xede den sistema anfitrioian;
  • ahultasunak exekutatzea ('NUCLEUS:13' modura ere ezagunak);
  • sisteman kode arbitrarioa exekutatzea, datu base lokalean komando arbitrarioak, edo pribilegioen eskalatzea egitea;
  • erabiltzaileak bahitzea eta asmo gaiztoko web orrialde batera birbideratzea, edo autentifikatutako erabiltzaile bati fitxategi sentikorretarako sarbidea baimentzea;
  • zerbitzuaren ukapena eragitea, man-in-the-middle modura jokatzea, edo informazio sentikorra berreskuratzea, edo funtzio pribilegiatuak eskuratzea;
  • bere pribilegioak root-era eskalatzea;
  • asmo gaiztoko ekintzak egitea cross-site scripting erako ahultasun baten bitartez, sortutako estekak bidaliz Polarion ALM-ko erabiltzaile administratzaile bati;
  • funtzio pribilegiatuak eskuratzea.

Kritikoak ez diren ahultasun hauetarako erabilitako CVE identifikatzaileak Siemensen ohartarazpen bakoitzaren 'vulnerability classification' atalean kontsulta daitezke.

Encuesta valoración

Etiketak:Eguneraketa, Azpiegitura kritikoak, IoT, Pribatutasuna, SCADA, Siemens, SSL/TLS, Ahultasuna

Partekatu

Linkedin partekatu