Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Avisos de seguridad de Siemens de septiembre de 2020

Fecha de publicación: 08/09/2020

Importancia: Crítica

Recursos afectados:

  • Information Server, 2019 SP1 y posteriores;
  • License Management Utility (LMU), todas las versiones anteriores a la V2.4;
  • Polarion Subversion Webclient, todas las versiones;
  • Process Historian (incluido Process Historian OPC UA Server), versión 2019 y posteriores;
  • SIMATIC Field PG M4, Field PG M5 y Field PG M6, todas las versiones;
  • SIMATIC HMI Basic Panels 2nd Generation (incluidas las variantes SIPLUS), todas las versiones superiores o iguales a la 14 y anteriores a la XX;
  • SIMATIC HMI Basic Panels 2nd Generation (incluidas las variantes SIPLUS), todas las versiones;
  • SIMATIC HMI Mobile Panels, todas las versiones;
  • SIMATIC HMI United Comfort Panels, todas las versiones;
  • SIMATIC IPC3000 SMART, IPC347E, IPC427D (incluidas las variantes SIPLUS), IPC427E (incluidas las variantes SIPLUS), IPC477D, IPC477E, IPC477E Pro, IPC527G, IPC547E, IPC547G, IPC627D, IPC627E, IPC647D, IPC647E, IPC677D, IPC677E, IPC827D, PC847D, IPC847E, ITP1000, todas las versiones;
  • SIMATIC PCS neo, todas las versiones;
  • SIMATIC RTLS Locating Manager, todas las versiones anteriores a la V2.10.2;
  • SIMATIC S7-300 CPU family (incluido ET200 CPUs y las variantes SIPLUS), todas las versiones;
  • SIMATIC S7-400 CPU family (incluidas variantes SIPLUS), todas las versiones;
  • SIMATIC WinCC OA, versión V3.17;
  • SIMIT Simulation Platform, versión V10.0 y posteriores;
  • SIMOTION P320-4E y P320-4S, todas las versiones;
  • SINEC INS, todas las versiones;
  • SINEMA Remote Connect, todas las versiones;
  • SINUMERIK 828D (PPU.4 / PPU1740), SINUMERIK 840D sl (NCU730.3B), SINUMERIK ONE (NCU1750 / NCU1760);
  • Siveillance Video Client, todas las versiones.
  • Spectrum PowerTM 4, todas las versions anteriores a la V4.70 SP8;
  • SPPA-S2000 (S7), versiones V3.04 y V3.06;
  • SPPA-S3000, versiones V3.04 y V3.05;
  • SPPA-T3000, versión R8.2 SP2;

Descripción:

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución:

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles hay que aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle:

Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 19 avisos de seguridad, de los cuales 10 son actualizaciones.

Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:

  • 1 vulnerabilidad de validación incorrecta de entrada;
  • 1 vulnerabilidad de revelación de información;
  • 1 vulnerabilidad de ejecución sin los privilegios necesarios;
  • 2 vulnerabilidades de permisos por defecto incorrectos;
  • 1 vulnerabilidad de elusión de autenticación;
  • 1 vulnerabilidad de restricción inadecuada en los intentos fallidos de autenticación;
  • 1 vulnerabilidad de almacenamiento de información sensible en texto claro;
  • 1 vulnerabilidad de transmisión de información sensible en texto claro;
  • 1 vulnerabilidad de fortaleza de cifrado inadecuada;
  • 1 vulnerabilidad de error de validación del origen;
  • 1 vulnerabilidad de verificación incorrecta de la firma criptográfica;
  • 1 vulnerabilidad de falsificación de petición en sitios cruzados (Cross-Site Request Forgery);
  • 1 vulnerabilidad de apagado o liberación incorrecto de recursos;
  • 1 vulnerabilidad de ruta de búsqueda o elemento sin entrecomillar;
  • 1 vulnerabilidad de credenciales insuficientemente protegidas;
  • 1 vulnerabilidad de exposición de la información a través de la lista de directorios;
  • 1 vulnerabilidad de neutralización inadecuada de etiquetas HTML relacionadas con scripts en una página web (XSS básico);
  • 1 vulnerabilidad de acceso al búfer con un valor de longitud incorrecta.

Para estas vulnerabilidades se han reservado los siguientes identificadores: CVE-2020-10049, CVE-2020-10050, CVE-2020-10051, CVE-2020-15791, CVE-2020-15788, CVE-2020-15789, CVE-2020-14509, CVE-2020-14513, CVE-2020-14515, CVE-2020-14517, CVE-2020-14519, CVE-2020-16233, CVE-2020-0543, CVE-2020-15786, CVE-2020-15787, CVE-2020-15784, CVE-2020-15790, CVE-2020-10056 y CVE-2020-15785.

Etiquetas: Actualización, Siemens, Vulnerabilidad