Argitalpen data: 2020/7/13
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- SIMATIC HMI Basic Panels 1st Generation (SIPLUS aldagaiak barne), bertsio guztiak;
- SIMATIC HMI Basic Panels 2nd Generation (SIPLUS aldagaian barne), bertsio guztiak;
- SIMATIC HMI Comfort Panels (SIPLUS aldagaiak barne), bertsio guztiak;
- SIMATIC HMI KTP700F Mobile Arctic, bertsio guztiak;
- SIMATIC HMI Mobile Panels 2nd Generation, bertsio guztiak;
- SIMATIC WinCC Runtime Advanced, bertsio guztiak;
- Opcenter Execution Discrete, Opcenter Execution Foundation, Opcenter Execution Process, 3.2 baino bertsio zaharragoak;
- Opcenter Intelligence, bertsio guztiak;
- Opcenter Quality, 11.3 baino bertsio zaharragoak;
- Opcenter RD&L v8.0;
- SIMATIC IT LMS, bertsio guztiak;
- SIMATIC IT Production Suite, bertsio guztiak;
- SIMATIC Notifier Server for Windows, bertsio guztiak;
- SIMATIC PCS neo, bertsio guztiak;
- LOGO! 8 BM (SIPLUS aldagaiak barne), V1.81.01 - V1.81.03, V1.82.01 eta V1.82.02 bertsioak;
- SPPA-T3000 Application Server, SPPA-T3000 Terminal Server, SPPA-T3000 APC UPS NMC txartelarekin, AP9630 edo AP9631;
- Camstar Enterprise Platform, bertsio guztiak;
- Opcenter Execution Core, 8.2 baino bertsio zaharragoak;
- SICAM MMU, 2.05 baino bertsio zaharragoak;
- SICAM SGU, bertsio guztiak;
- SICAM T, 2.18 baino bertsio zaharragoak;
- SIMATIC S7-200, SMART CPU familia, bertsio guztiak, V2.2 eta V2.5.1 artekoak.
Azalpena:
Siemensek hainbat produkturen segurtasun-eguneratzeak argitaratu ditu hileroko komunikatuan.
Konponbidea:
Siemensen deskargen panelean eskura daitezke adierazitako zaurgarritasunak zuzentzen dituzten eguneraketak. Eguneratzerik ez daukaten produktuetarako, Erreferentziak atalean deskribatutako arintze-neurriak aplikatu behar dira.
Xehetasunak:
Siemensek 19 segurtasun-abisu eman ditu guztira segurtasun-adabakien hileko komunikazioan, eta horietatik 12 eguneratzeak dira.
Hauek dira argitaratutako zaurgarritasun berriak:
- testu argian informazio sentikorra transmititzea, zaurgarritasun bat;
- bilaketa-ibilbideko edo komatxo gabeko elementua, zaurgarritasun bat;
- bufer-kopia sarreraren tamaina egiaztatu gabe (buferrak gainezka egitea), bi zaurgarritasun;
- parametroen luzera desegokia erabiltzea, zaurgarritasun bat;
- gainezkatzea edo osorik doitzea, zaurgarritasun bat;
- web-orria sortzean sarrera behar ez bezala neutralizatzea (Cross-site Scripting), bi zaurgarritasun;
- SQL komando batean (SQL injekzioa) erabilitako elementu berezien neutralizazio okerra, zaurgarritasun bat;
- mugatik kanpo irakurtzea, zaurgarritasun bat;
- autentifikaziorik ez izatea funtzio kritiko baterako, bi zaurgarritasun;
- informazio sentikorrean zifratzerik ez izatea, zaurgarritasun bat;
- ahalegin konputazional nahikorik gabe sortutako pasahitzaren hash erabiltzea, zaurgarritasun bat;
- web orri batean scriptekin lotutako HTML etiketen neutralizazio desegokia (oinarrizko XSS); zaurgarritasun 1;
- Capture-replay bidezko autentifikaziorik eza, zaurgarritasun bat;
- baliabideen kontsumo kontrolatu gabe (baliabideak agortzea), zaurgarritasun bat.
Zaurgarritasun horietarako, identifikatzaile hauek gorde dira: CVE-2020-7592, CVE-2020-7581, CVE-2020-7587, CVE-2020-7588, CVE-2020-7593, CVE-2020-11896, CVE-2020-0545, CVE-2020-7576, CVE-2020-7577, CVE-2020-7578, CVE-2020-10037, CVE-2020-10038, CVE-2020-10039, CVE-2020-10040, CVE-2020-10041, CVE-2020-10042, CVE-2020-10043, CVE-2020-10044, CVE-2020-10045CVE-2020-10045 eta CVE-2020-7584.
Etiketak: Eguneratzea, Siemens, zaurgarritasuna