Skip to main content

Argitalpen data: 2022/02/08

Garrantzia:Kritikoa

Kaltetutako baliabideak:

  • SSA-244969 , SSA-539476 , SSA-838121 eta SSA-914168-n zerrendatutako RUGGEDCOM, SCALANCE, SIMATIC, SINEC, SINEMA, SINUMERIK, SIPLUS, TIA Administrator eta TIM produktuen hainbat modelo eta bertsio.
  • Honakoen bertsio guztiak:
    • JT2Go;
    • Teamcenter Visualization V12.4 eta V13.2;
    • Simcenter Femap V2020.2 eta V2021.1;
    • SICAM TOOLBOX II.
  • Solid Edge SE2021, SE2021MP9 baino lehenagoko bertsioak (CVE-2021-44000, CVE-2021-44016 eta CVE-2021-44018k kaltetuek soilik).
  • Solid Edge SE2022, SE2022MP1 baino lehenagoko bertsioak (CVE-2021-44000, CVE-2021-44016 eta CVE-2021-44018k kaltetuek soilik).
  • Teamcenter Visualization V13.1:
    • bertsio guztiak (CVE-2021-43336, CVE-2021-44000, CVE-2021-44016 eta CVE-2021-44018k kaltetuek soilik);
    • 13.1.0.8 baino lehenagoko bertsio guztiak (CVE-2021-38405k kaltetuek soilik).
  • Teamcenter Visualization V13.3:
    • bertsio guztiak (CVE-2021-43336-k soilik eragindako bertsioak);
    • 13.3.0.1 baino lehenagoko bertsioak (CVE-2021-38405, CVE-2021-44000, CVE-2021-44016 eta CVE-2021-44018-k kaltetuek soilik).
  • SINEMA Remote Connect Server, 2.0 baino lehenagoko bertsioak.
  • Spectrum Power 4, 4.70 SP9 Security Patch 1 baino lehenagoko bertsioak.

Azalpena:

Siemensek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.

Konponbidea:

Aipatutako ahultasunak konpontzen dituzten eguneraketak Siemensen deskarga panelean eskura daitezke. Eguneraketarik eskuragarri ez daukaten produktuen kasuan Erreferentziak atalean azaltzen diren arintze neurriak ezartzea gomendatzen da.

Xehetasuna:

Siemensek, segurtasun partxeei buruzko bere hileko komunikatuan 9 segurtasun ohartarazpen argitaratu ditu guztira.

  • Kaltetutako aplikazioek sarbidearen kontrol saihesgarri bat erabiltzen dute datu base baten zerbitzu baten barnean, eta hori baliatuz erasotzaile batek datu basera sarbidea lor lezake. Ahultasun kritiko horretarako CVE-2021-45106 identifikatzailea erabili da.

Argitaratutako ahultasun mota berriak, kritikoak ez direnak, honako hauek dira:

  • mugez kanpoko irakurketa,
  • memoriaren bufferraren mugen barnean eragiketen murrizketa desegokia,
  • mugez kanpoko idazketa,
  • bufferraren gainezkatzea,
  • osokoen gainezkatzea,
  • fitxategi moten nahasketa,
  • birbideratze irekia,
  • Cross-Site Scripting (XSS),
  • zerbitzuaren ukapena (DoS),
  • informazioa sentikorra agerian uztea,
  • informazio sentikorrera sarbidea duten kanpoko fitxategi edo direktorioak.

Kritikoak ez diren ahultasun hauetarako erabilitako CVE identifikatzaileak Siemensen ohartarazpen bakoitzaren 'vulnerability classification' atalean kontsulta daitezke.

Encuesta valoración

Etiketak:Eguneraketa, Azpiegitura kritikoak, IoT, Pribatutasuna, SCADA, Siemens, SSL/TLS, Ahultasuna

Partekatu

Linkedin partekatu