Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Siemens produktuetan

Argitalpen data: 2019/12/10

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • SPPA-T3000 Application Server, bertsio guztiak,
  • SPPA-T3000 MS3000 Migration Server, bertsio guztiak,
  • EN 100 Ethernet modulua, 
    • IEC 61850 aldaera, V4.37 baino lehenagoko bertsio guztiak,
    • PROFINET IO aldaera, bertsio guztiak,
    • Modbus TCP aldaera, bertsio guztiak,
    • DNP3 aldaera, bertsio guztiak,
    • IEC 104 aldaera, bertsio guztiak.
  • XHQ, V6.0.0.2 bertsioaren aurreko guztiak,
  • SCALANCE W1700, V1.1 bertsioa baino lehenagoko guztiak,
  • SCALANCE W700, V6.4 bertsioa baino lehenagoko guztiak,
  • SiNVR 3 Central Control Server (CCS), bertsio guztiak,
  • SiNVR 3 Video Server, bertsio guztiak,
  • RUGGEDCOM ROS: 
    • RMC8388, bertsio guztiak,
    • RSG2488, bertsio guztiak,
    • RSG920P, bertsio guztiak,
    • RSG9xx R/C, bertsio guztiak,
    • RSL910, bertsio guztiak,
    • RST2228, bertsio guztiak.

Azalpena:

Siemensek hainbat ahultasun aurkitu ditu bere gailu batzuetan. Urruneko erasotzaile batek informazioa eman lezake ezagutzera, pribilegioen eskalatzea egin, bideak saihestu, kode arbitrarioa exekutatu, zerbitzuaren ukapen egoera eragin edo datuak injektatu.

Konponbidea:

Siemensek hainbat eguneraketa argitaratu ditu, kaltetutako gailuaren arabera:

  • SPPA-T3000 Application Server, Service Pack R8.2 SP1 partxea aplikatzea.
  • Módulo EN 100 Ethernet, IEC 61850 aldaera, V4.37 bertsiora eguneratzea.
  • XHQ, V6.0.0.2 bertsiora eguneratzea.
  • SCALANCE W1700, V1.1 bertsiora eguneratzea.
  • SCALANCE W700, V6.4 bertsiora eguneratzea.

Kaltetutako gainerako produktuen kasuan, Siemens-en ohartarazpen ofizialetako Workarounds and Mitigations ataleko gomendioak kontsultatzea.

Xehetasuna:

Ondoren zehazten dira ahultasun kritikoak:

  • Autentifikazio desegokia. Ahultasun horietarako CVE-2019-18337, CVE-2019-18284, CVE-2019-18314, CVE-2019-18315, CVE-2019-18321 eta CVE-2019-18322 identifikatzaileak esleitu dira.
  • Autentifikazio falta funtzio kritikoan. Ahultasun horretarako CVE-2019-18339 identifikatzailea erabili da.
  • Funtzioaren edo metodo arriskutsuaren agerpena. Ahultasun horretarako CVE-2019-18342 identifikatzailea erabili da.
  • Fidagarriak ez diren datuen deserializazioa. Ahultasun horietarako CVE-2019-18283 eta CVE-2019-18316 identifikatzaileak erabili dira.
  • Egiaztapen falta fitxategiak igotzean. Ahultasun horretarako CVE-2019-18313 identifikatzailea erabili da.
  • Memoria dinamikoan (Heap) oinarritutako bufferraren gainezkatzea. Ahultasun horietarako CVE-2019-18323, CVE-2019-18324, CVE-2019-18325, CVE-2019-18326, CVE-2019-18327, CVE-2019-18328, CVE-2019-18329, CVE-2019-18330, CVE-2019-18289 eta CVE-2019-18293 identifikatzaileak erabili dira.

Gainerako ahultasunetarako identifikatzaile hauek esleitu dira: CVE-2019-13942, CVE-2019-13943, CVE-2019-13944, CVE-2018-14526, CVE-2019-13947, CVE-2019-18338, CVE-2019-18340, CVE-2019-18341, CVE-2018-18440, CVE-2019-13103, CVE-2019-13930, CVE-2019-13931, CVE-2019-13932, CVE-2018-4832, CVE-2019-18285, CVE-2019-18286, CVE-2019-18287, CVE-2019-18288, CVE-2019-18290, CVE-2019-18291, CVE-2019-18292, CVE-2019-18294, CVE-2019-18295, CVE-2019-18296, CVE-2019-18297, CVE-2019-18298, CVE-2019-18299, CVE-2019-18300, CVE-2019-18301, CVE-2019-18302, CVE-2019-18303, CVE-2019-18304, CVE-2019-18305, CVE-2019-18306, CVE-2019-18307, CVE-2019-18308, CVE-2019-18309, CVE-2019-18311, CVE-2019-18312, CVE-2019-18317, CVE-2019-18318, CVE-2019-18319, CVE-2019-18320, CVE-2019-18331, CVE-2019-18332, CVE-2019-18333, CVE-2019-18334 eta CVE-2019-18335.

Etiketak: Eguneraketa, Siemens, Ahultasuna