Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/08/12

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• SICAM A8000 RTUs-erako SICAM WEB firmwarea, V05.30 bertsioaren aurreko guztiak;
• Automation License Manager 5, bertsio guztiak;
• Automation License Manager 6, V6.0.8 bertsioaren aurreko guztiak;
• SIMATIC RF350M, bertsio guztiak;
• SIMATIC RF650M, bertsio guztiak;
• SIMOTICS CONNECT 400, bertsio guztiak;
• Desigo CC, 3.X eta 4.X bertsioak;
• Desigo CC Compact, 3.X eta 4.X bertsioak;
• RUGGEDCOM RM1224, V6.3 bertsioaren aurreko guztiak;
• SCALANCE M-800 / S615, V6.3 bertsioaren aurreko guztiak;

Azalpena:

Siemensek produktu batzuen inguruan hainbat segurtasun-eguneratze argitaratu ditu, bere hileroko jakinarazpenean.

Konponbidea:

Aipatutako ahultasunak konpontzen dituzten eguneratzeak Siemens deskarga paneletik deskargatu daitezke. Eguneratzerik gabeko produktuetarako, Erreferentzien atalean azaldutako arintze-neurriak aplikatu behar dira.

Xehetasunak:

Siemensek, segurtasun partxeei buruzko hileroko jakinarazpenean, 20 segurtasun-abisu eman ditu; horietatik 15 eguneratzeak dira.

Argitaratutako ahultasun mota honakoei dagokie:

• Web orria sortu bitarteko sarreraren neutralizazio desegokiaren arloko ahultasun bat (Cross-site Scripting);
• Eguneratze desegokiaren arloko ahultasun bat;
• TOCTOU (Time-of-check Time-of-use) karrera izaerako ahultasun bat;
• Kodea sortzearen inguruko kontrol desegokiaren arloko ahultasun bat (kodea injektatzea);
• Sarrera tamainaren konprobaziorik gabeko bufferraren ahultasun bat (bufferrak gainezka egite klasikoa).

Ahultasun horietarako, honako identifikatzaileak erreserbatu dira: CVE-2020-15781, CVE-2020-7583, CVE-2019-15126, CVE-2020-10055 eta CVE-2020-8597.

Etiketak: Eguneraketa, Siemens, Ahultasna