Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

2021eko iraileko Siemens segurtasun-abisuak

Argitalpen-data: 2021/09/14

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • Simcenter STAR-CCM Viewer, 2021.2.1 bertsioaren aurrekoak;
  • RUGGEDCOM ROX sistemaren 2.14.1 bertsioaren aurrekoak:
    • MX5000,
    • RX1400,
    • RX1500,
    • RX1501,
    • RX1510,
    • RX1511,
    • RX1512,
    • RX1524,
    • RX1536,
    • RX5000.
  • NX 1980 Series, 1984 bertsioaren aurrekoak;
  • SIMATIC RF350M eta RF650M bertsio guztiak;
  • LOGO! CMR2020 eta CMR2040 2.2.ren aurreko bertsioak;
  • SIMATIC RTU 3000 familiako bertsio guztiak;
  • SINEC NMS, 1.0 SP1 bertsioaren aurrekoak;
  • SINEMA Remote Connect Server sistemaren 3.0 SP2 bertsioaren aurrekoak;
  • Teamcenter Active Workspace, 5.2.1 bertsioaren aurrekoak;
  • Cerberus, 4.0, 4.1 eta 4,2 bertsio guztiak; eta 5.0 QU1 bertsioaren aurrekoak, modelo hauetarako:
    • DMS,
    • CC Compact,
    • CC.
  • 8.80aren aurreko bertsioak CPU aldagaiak dituzten SIPROTEC 5 erreleetarako:
    • CP050,
    • CP100,
    • CP300.
  • CPU aldagaiak dituzten SIPROTEC 5 ereleen bertsio guztiak:
    • CP150,
    • CP200.
  • Desigo CC, OIS Extension Module duten bertsioak;
  • GMA-Manager, Debian 9 edo aurrekoetan exekutatzen diren OIS duten bertsioak;
  • Operation Scheduler, Debian 9 edo aurrekoetan exekutatzen diren OIS duten bertsioak;
  • Siveillance Control. Debian 9 edo aurrekoetan exekutatzen diren OIS duten bertsioak;
  • Siveillance Control Pro, bertsio guztiak;
  • SIMATIC CP 1543-1 (SIPLUS aldaerak barne), 3.0 bertsioaren aurrekoak;
  • SIMATIC CP 1545-1, bertsio guztiak;
  • SIMATIC CP 343-1 (SIPLUS aldaerak barne), bertsio guztiak;
  • SIMATIC CP 343-1 Advanced (SIPLUS aldaerak barne), bertsio guztiak;
  • SIMATIC CP 343-1 ERPC, bertsio guztiak;
  • SIMATIC CP 343-1 Lean (SIPLUS aldaerak barne), bertsio guztiak;
  • SIMATIC CP 443-1 (SIPLUS aldaerak barne), bertsio guztiak;
  • SIMATIC CP 443-1 Advanced (SIPLUS aldaerak barne), bertsio guztiak;
  • SSA-676336 zerrendan jasotako Scalance bertsio eta modeloak;
  • Industrial Edge Management, 1.3 bertsioaren aurrekoak;
  • SINEMA Server, 14 SP3 bertsioaren aurrekoak;
  • APOGEE:
    • MBC (PPC) (P2 Ethernet), 2.6.3 bertsioak eta ostekoak;
    • MEC (PPC) (P2 Ethernet), 2.6.3 bertsioak eta ostekoak;
    • PXC Compact (BACnet), 3.5.3 bertsioaren aurrekoak;
    • PXC Compact (P2 Ethernet), 2.8 bertsioa eta ostekoak;
    • PXC Modular (BACnet), 3.5.3 bertsioaren aurrekoak;
    • PXC Modular (P2 Ethernet), 2.8 bertsioa eta ostekoak.
  • TALON TC Compact (BACnet), 3.5.3 bertsioaren aurrekoak;
  • TALON TC Modular (BACnet), 3.5.3 bertsioaren aurrekoak;
  • Teamcenter, 13.2.0.2 bertsioaren aurrekoak;
  • Bertsio guztiak: Simcenter Femap 2020.2 eta 2021.1.

Deskribapena:

Siemensek bere hileroko jakinarazpenean eman ditu hainbat produkturen segurtasun-eguneratzeak.

Konponbidea:

Adierazitako abultasunak konpontzen dituzten eguneratzeak Siemensen deskarga-panelean eskura daitezke. Eguneratzeak eskuragarri ez dituzten produktuetarako, erreferentzien atalean azaldutako arintze-neurriak aplikatzea gomendatzen da.

Xehetasuna:

Siemensek, segurtasun-partxeen hileroko komunikazioan, 46 segurtasun-ohar eman ditu guztira; horietako 25 eguneratzeak izan dira.

Argitaratutako ahultasun berriak mota hauetakoak dira:

  • Mugetatik kanpoko idazketa,
  • Informazio sentikorra baimenik gabeko erabiltzaile batera pasatzea,
  • Beharrezko ez diren pribilegioekin exekutatzea,
  • Nahiko ez diren baimen edo pribilegioen kudeaketa desegokia,
  • Mugetatik kanpoko irakurketa,
  • Kodearen exekuzioa,
  • Nahiko aleatorioak ez diren balioak erabiltzea,
  • Artxibo arbitrarioen deskarga,
  • CSRF (Cross-Site Request Forgery),
  • Ustez aldatu ezin diren datuak aldatzea (MAID),
  • Zerbitzuaren ukapena,
  • Ibilbide-izena direktorio mugatu batera oker mugatzea (path traversal),
  • Sarrera-balioztatze desegokia,
  • Sistema eragilearen komandoen injekzioa,
  • Testu lauan informazio sentikorra gordetzea,
  • NULL punterorako erreferentzia eza,
  • Egiaztatze falta,
  • ziurtagiri-balioztatze desegokia,
  • funtzio kritikorako egiaztatze falta,
  • bufferraren gainezkatzea,
  • IDOR (Insecure Direct Object Reference),
  • XXE mugatze desegokia.

Ahultasun horietarako esleitutako CVE identifikatzaileak Siemensen ohar bakoitzeko VULNERABILITY CLASSIFICATION atalean jaso dira.

Etiketak: Eguneratzea, Komunikazioak, Azpiegitura kritikoak, IoT, Pribatutasuna, SCADA, Siemens, Ahultasuna