Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Avisos de seguridad de Siemens de febrero de 2022

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 08/02/2022

Importancia:
Crítica

Recursos afectados:

  • Distintos modelos y versiones listados en SSA-244969 , SSA-539476 , SSA-838121 y SSA-914168 de productos RUGGEDCOM, SCALANCE, SIMATIC, SINEC, SINEMA, SINUMERIK, SIPLUS, TIA Administrator y TIM.
  • Todas las versiones de:
    • JT2Go;
    • Teamcenter Visualization V12.4 y V13.2;
    • Simcenter Femap V2020.2 y V2021.1;
    • SICAM TOOLBOX II.
  • Solid Edge SE2021, versiones anteriores a SE2021MP9 (solo afectados por CVE-2021-44000, CVE-2021-44016 y CVE-2021-44018).
  • Solid Edge SE2022, versiones anteriores a SE2022MP1 (solo afectados por CVE-2021-44000, CVE-2021-44016 y CVE-2021-44018).
  • Teamcenter Visualization V13.1:
    • todas las versiones (solo afectados por CVE-2021-43336, CVE-2021-44000, CVE-2021-44016, CVE-2021-44018);
    • versiones anteriores a 13.1.0.8 (solo afectados por CVE-2021-38405).
  • Teamcenter Visualization V13.3:
    • todas las versiones (solo afectados por CVE-2021-43336);
    • versiones anteriores a 13.3.0.1 (solo afectados por CVE-2021-38405, CVE-2021-44000, CVE-2021-44016 y CVE-2021-44018).
  • SINEMA Remote Connect Server, versiones anteriores a 2.0.
  • Spectrum Power 4, versiones anteriores a 4.70 SP9 Security Patch 1.

Descripción:

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución:

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle:

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 9 nuevos avisos de seguridad.

  • Las aplicaciones afectadas utilizan un control de acceso eludible dentro de un servicio de base de datos, lo que podría permitir a un atacante acceder a la base de datos. Se ha asignado el identificador CVE-2021-45106 para esta vulnerabilidad crítica.

Los tipos de nuevas vulnerabilidades, no críticas, publicadas se corresponden con los siguientes:

  • lectura fuera de límites,
  • restricción inadecuada de operaciones dentro de los límites del búfer de memoria,
  • escritura fuera de límites,
  • desbordamiento de búfer,
  • desbordamiento de enteros,
  • confusión de tipos de archivos,
  • redirección abierta,
  • Cross-Site Scripting (XSS),
  • denegación de servicio (DoS),
  • exposición de información sensible,
  • archivos o directorios externos con acceso a información sensible.

Los identificadores CVE asignados para estas vulnerabilidades, no críticas, pueden consultarse en la sección ‘vulnerability classification‘ de cada aviso de Siemens.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, IoT, Privacidad, SCADA, Siemens, SSL/TLS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.