Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos Building Technologies de Siemens

Fecha de publicación: 02/04/2018

Importancia: Crítica

Recursos afectados:

  • License Management System (LMS) todas las versiones anteriores a la V2.1 SP3 (2.1.670).
  • Annual Shading V1.0.4 y V1.1.
  • Desigo ABT MP1.1 Build 845, MP1.15 Build 360, MP1.16 Build 055, MP1.2 Build 850, MP1.2.1 Build 318, and MP2.1 Build 965.
  • Desigo CC MP1.1, MP2.0, MP2.1, y MP3.0.
  • Desigo Configuration Manager (DCM) V6.10.140.
  • Desigo XWP V5.00.204, V5.00.260, V5.10.142, V5.10.212, V6.00.184, V6.00.342, y V6.10.172.
  • SiteIQ Analytics V1.1, V1.2, y V1.3.
  • Siveillance Identity V1.1.

Descripción:

Siemens ha publicado un boletín de seguridad con 8 vulnerabilidades, 4 de ellas catalogadas como críticas y 3 altas, que podrían permitir a un atacante ejecutar código arbitrario en los dispositivos afectados o causar una denegación de servicio.

Solución:

Siemens aconseja a los usuarios actualizar las versiones de los productos afectados, para ello recomienda ponerse en contacto con su representante local o con su servicio de atención al cliente:

  • Instalar LMS V2.1 SP4 (2.1.681) o superior.

Detalle:

  • Vulnerabilidad de severidad crítica provocada por peticiones ASN1 malformadas que podrían causar un desbordamiento de búfer basado en la pila y permitir la ejecución de código arbitrario. Para esta vulnerabilidad se ha reservado el identificador CVE-2017-11496.
  • Vulnerabilidad de severidad crítica provocada por nombres de archivo malformados en el paquete de idiomas que podrían causar un desbordamiento de búfer basado en la pila y permitir la ejecución de código arbitrario. Para esta vulnerabilidad se ha reservado el identificador CVE-2017-11497.
  • Vulnerabilidad de severidad crítica que puede causar ataques NTLM-relay por medio de la manipulación remota del paquete de idioma. Para esta vulnerabilidad se ha reservado el identificador CVE-2017-12819.
  • Vulnerabilidad de severidad crítica causada por una corrupción de memoria puede permitir la ejecución remota de código. Para esta vulnerabilidad se ha reservado el identificador CVE-2017-12821.
  • Vulnerabilidad de severidad alta provocada por los archivos HTML de los paquetes de idioma comprimidos pueden permitir el acceso al puntero NULL causando una denegación de servicio remota. Para esta vulnerabilidad se ha reservado el identificador CVE-2017-11498.
  • Vulnerabilidad de severidad alta provocada por un desbordamiento de búfer basado en la pila en el analizador XML puede causar una denegación de servicio remota. Para esta vulnerabilidad se ha reservado el identificador CVE-2017-12818.
  • Vulnerabilidad de severidad alta provocada por la lectura de memoria arbitraria desde el puntero podría causar una denegación de servicio remota. Para esta vulnerabilidad se ha reservado el identificador CVE-2017-12820.

Etiquetas: Actualización, Siemens, Vulnerabilidad