Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Boletín de seguridad de Siemens de julio de 2020

Fecha de publicación: 13/07/2020

Importancia: Crítica

Recursos afectados:

  • SIMATIC HMI Basic Panels 1st Generation (variantes SIPLUS incluidas), todas las versiones;
  • SIMATIC HMI Basic Panels 2nd Generation (variantes SIPLUS incluidas), todas las versiones;
  • SIMATIC HMI Comfort Panels (variantes SIPLUS incluidas), todas las versiones;
  • SIMATIC HMI KTP700F Mobile Arctic, todas las versiones;
  • SIMATIC HMI Mobile Panels 2nd Generation, todas las versiones;
  • SIMATIC WinCC Runtime Advanced, todas las versiones;
  • Opcenter Execution Discrete, Opcenter Execution Foundation, Opcenter Execution Process, versiones anteriores a la 3.2;
  • Opcenter Intelligence, todas las versiones;
  • Opcenter Quality, versiones anteriores a la 11.3;
  • Opcenter RD&L v8.0;
  • SIMATIC IT LMS, todas las versiones;
  • SIMATIC IT Production Suite, todas las versiones;
  • SIMATIC Notifier Server for Windows, todas las versiones;
  • SIMATIC PCS neo, todas las versiones;
  • LOGO! 8 BM (variantes SIPLUS incluidas), versiones V1.81.01 - V1.81.03, V1.82.01 y V1.82.02;
  • SPPA-T3000 Application Server, SPPA-T3000 Terminal Server, SPPA-T3000 APC UPS con tarjeta NMC, AP9630 o AP9631;
  • Camstar Enterprise Platform, todas las versiones;
  • Opcenter Execution Core, versiones anteriores a la 8.2;
  • SICAM MMU, todas las versiones anteriores a la 2.05;
  • SICAM SGU, todas las versiones;
  • SICAM T, todas las versiones anteriores a la 2.18;
  • SIMATIC S7-200, familia SMART CPU, todas las versiones, desde la V2.2, hasta la V2.5.1.

Descripción:

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución:

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles hay que aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle:

Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 19 avisos de seguridad, de las cuales 12 son actualizaciones.

El tipo de nuevas vulnerabilidades publicadas se corresponde a los siguientes:

  • 1 vulnerabilidad de transmisión de información sensible en texto claro,
  • 1 vulnerabilidades de ruta de búsqueda o elemento sin entrecomillar,
  • 2 vulnerabilidades de copia de búfer sin comprobación del tamaño de entrada (desbordamiento de búfer),
  • 1 vulnerabilidad de manejo inadecuado de la longitud de los parámetros,
  • 1 vulnerabilidad de desbordamiento o ajuste de enteros,
  • 2 vulnerabilidades de neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting),
  • 1 vulnerabilidad de neutralización incorrecta de elementos especiales usados en un comando SQL (inyección SQL),
  • 1 vulnerabilidad de lectura fuera de límites,
  • 2 vulnerabilidades de ausencia de autenticación para una función crítica,
  • 1 vulnerabilidad de ausencia de cifrado en información sensible,
  • 1 vulnerabilidad de uso de hash de contraseña generado con esfuerzo computacional insuficiente,
  • 1 vulnerabilidad de neutralización inadecuada de etiquetas HTML relacionadas con scripts en una página web (XSS básico),
  • 1 vulnerabilidad de omisión de autenticación mediante capture-replay,
  • 1 vulnerabilidad de consumo de recursos no controlado (agotamiento de recursos).

Para estas vulnerabilidades se han reservado los siguientes identificadores: CVE-2020-7592, CVE-2020-7581, CVE-2020-7587, CVE-2020-7588, CVE-2020-7593, CVE-2020-11896, CVE-2020-0545, CVE-2020-7576, CVE-2020-7577, CVE-2020-7578, CVE-2020-10037, CVE-2020-10038, CVE-2020-10039, CVE-2020-10040, CVE-2020-10041, CVE-2020-10042, CVE-2020-10043, CVE-2020-10044, CVE-2020-10045CVE-2020-10045 y CVE-2020-7584.

Etiquetas: Actualización, Siemens, Vulnerabilidad