Avisos de seguridad de Siemens de diciembre de 2021

Fecha de publicación: 14/12/2021

Importancia:
Crítica

Recursos afectados:

• Teamcenter Active Workspace, versiones:
  • 4.3: anteriores a 4.3.11;
  • 5.0: anteriores a 5.0.10;
  • 5.1: anteriores a 5.1.6;
  • 5.2: anteriores a 5.2.3.
• SiPass integrated, todas las versiones de:
  • 2.76;
  • 2.80;
  • 2.85.
• Simcenter STAR-CCM+ Viewer, versiones anteriores a 2021.3.1;
• SIMATIC eaSie PCS 7 Skill Package (6DL5424-0BX00-0AV8), versiones anteriores a 21.00 SP3;
• JT Utilities, versiones anteriores a 12.8.1.1;
• JTTK, versiones anteriores a 10.8.1.1;
• Versiones anteriores a 3.2.1.0 de:
  • SIMATIC ITC1500 V3,
  • SIMATIC ITC1500 V3 PRO,
  • SIMATIC ITC1900 V3,
  • SIMATIC ITC1900 V3 PRO,
  • SIMATIC ITC2200 V3,
  • SIMATIC ITC2200 V3 PRO.
• Todas las versiones de:
  • ModelSim Simulation,
  • Questa Simulation.
• Siveillance Identity:
  • V1.5: todas las versiones;
  • V1.6: versiones anteriores a 1.6.284.0.
• Versiones anteriores a 2.41 de:
  • POWER METER SICAM Q100 (7KG9501-0AA01-0AA1),
  • POWER METER SICAM Q100 (7KG9501-0AA01-2AA1),
  • POWER METER SICAM Q100 (7KG9501-0AA31-0AA1),
  • POWER METER SICAM Q100 (7KG9501-0AA31-2AA1).
• SINUMERIK Edge, versiones anteriores a 3.2;
• versiones anteriores a 13.2.0.5 de:
  • JT2Go,
  • Teamcenter Visualization.
• Capital VSTAR, versiones con las opciones Ethernet habilitadas.

Descripción:

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución:

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle:

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 avisos de seguridad.

• Múltiples vulnerabilidades de LibVNC en varios productos podrían permitir la ejecución remota de código, la divulgación de información y los ataques de denegación de servicio en determinadas condiciones. Se han asignado los identificadores: CVE-2017-18922, CVE-2018-20019, CVE-2018-20748, CVE-2018-20749, CVE-2018-20750, CVE-2019-15690 y CVE-2019-20788 para estas vulnerabilidades críticas.
• Recientes investigaciones de seguridad identifican puntos débiles en la práctica recomendada por la IEEE 1735 para el cifrado de la IP de diseño, lo que podría permitir a un atacante sofisticado el acceso a datos de IP de diseño sin cifrar en los productos que cumplen con la norma IEEE 1735. Se ha asignado el identificador CVE-2021-42023 para esta vulnerabilidad crítica.
• POWER METER SICAM Q100 contiene una vulnerabilidad que podría permitir a un atacante ejecutar código de forma remota. Se ha asignado el identificador CVE-2021-44165 para esta vulnerabilidad crítica.

Los tipos de nuevas vulnerabilidades, no críticas, publicadas se corresponden con los siguientes:

• limitación incorrecta del nombre de ruta a un directorio restringido (path traversal),
• exposición de recursos,
• escritura fuera de límites,
• uso de memoria después de ser liberada,
• lectura fuera de límites,
• exposición de información sensible,
• inicialización incorrecta,
• desbordamiento de búfer basado en pila (stack),
• restricción de operaciones inadecuada dentro de los límites del búfer de memoria,
• desreferencia a puntero NULL,
• validación de certificado incorrecto,
• uso de variable no inicializada,
• confusión de tipos,
• desbordamiento de enteros.

Los identificadores CVE asignados para estas vulnerabilidades, no críticas, pueden consultarse en la sección ‘vulnerability classification‘ de cada aviso de Siemens.

Etiquetas:
Actualización, Infraestructuras críticas, Siemens, Vulnerabilidad