Argitalpen data: 2022/02/08
Garrantzia:Kritikoa
Kaltetutako baliabideak:
- SSA-244969 , SSA-539476 , SSA-838121 eta SSA-914168-n zerrendatutako RUGGEDCOM, SCALANCE, SIMATIC, SINEC, SINEMA, SINUMERIK, SIPLUS, TIA Administrator eta TIM produktuen hainbat modelo eta bertsio.
- Honakoen bertsio guztiak:
- JT2Go;
- Teamcenter Visualization V12.4 eta V13.2;
- Simcenter Femap V2020.2 eta V2021.1;
- SICAM TOOLBOX II.
- Solid Edge SE2021, SE2021MP9 baino lehenagoko bertsioak (CVE-2021-44000, CVE-2021-44016 eta CVE-2021-44018k kaltetuek soilik).
- Solid Edge SE2022, SE2022MP1 baino lehenagoko bertsioak (CVE-2021-44000, CVE-2021-44016 eta CVE-2021-44018k kaltetuek soilik).
- Teamcenter Visualization V13.1:
- bertsio guztiak (CVE-2021-43336, CVE-2021-44000, CVE-2021-44016 eta CVE-2021-44018k kaltetuek soilik);
- 13.1.0.8 baino lehenagoko bertsio guztiak (CVE-2021-38405k kaltetuek soilik).
- Teamcenter Visualization V13.3:
- bertsio guztiak (CVE-2021-43336-k soilik eragindako bertsioak);
- 13.3.0.1 baino lehenagoko bertsioak (CVE-2021-38405, CVE-2021-44000, CVE-2021-44016 eta CVE-2021-44018-k kaltetuek soilik).
- SINEMA Remote Connect Server, 2.0 baino lehenagoko bertsioak.
- Spectrum Power 4, 4.70 SP9 Security Patch 1 baino lehenagoko bertsioak.
Azalpena:
Siemensek hainbat produkturi buruzko segurtasun eguneraketa batzuk argitaratu ditu bere hileroko komunikatuan.
Konponbidea:
Aipatutako ahultasunak konpontzen dituzten eguneraketak Siemensen deskarga panelean eskura daitezke. Eguneraketarik eskuragarri ez daukaten produktuen kasuan Erreferentziak atalean azaltzen diren arintze neurriak ezartzea gomendatzen da.
Xehetasuna:
Siemensek, segurtasun partxeei buruzko bere hileko komunikatuan 9 segurtasun ohartarazpen argitaratu ditu guztira.
- Kaltetutako aplikazioek sarbidearen kontrol saihesgarri bat erabiltzen dute datu base baten zerbitzu baten barnean, eta hori baliatuz erasotzaile batek datu basera sarbidea lor lezake. Ahultasun kritiko horretarako CVE-2021-45106 identifikatzailea erabili da.
Argitaratutako ahultasun mota berriak, kritikoak ez direnak, honako hauek dira:
- mugez kanpoko irakurketa,
- memoriaren bufferraren mugen barnean eragiketen murrizketa desegokia,
- mugez kanpoko idazketa,
- bufferraren gainezkatzea,
- osokoen gainezkatzea,
- fitxategi moten nahasketa,
- birbideratze irekia,
- Cross-Site Scripting (XSS),
- zerbitzuaren ukapena (DoS),
- informazioa sentikorra agerian uztea,
- informazio sentikorrera sarbidea duten kanpoko fitxategi edo direktorioak.
Kritikoak ez diren ahultasun hauetarako erabilitako CVE identifikatzaileak Siemensen ohartarazpen bakoitzaren 'vulnerability classification' atalean kontsulta daitezke.
Etiketak:Eguneraketa, Azpiegitura kritikoak, IoT, Pribatutasuna, SCADA, Siemens, SSL/TLS, Ahultasuna