Avisos de seguridad de Siemens de julio de 2021

Fecha de publicación: 14/07/2021

Importancia:
Crítica

Recursos afectados:

• Solid Edge SE2021, versiones anteriores a SE2021MP5;
• JT Utilities, versiones anteriores a 13.0.2.0;
• Mendix Applications utilizando:
  • Mendix 7, versiones anteriores a 7.23.22 (o una versión posterior);
  • Mendix 8, versiones anteriores a 8.18.7 (o una versión posterior);
  • Mendix 9, versiones anteriores a 9.3.0 (o una versión posterior).
• Versiones anteriores a 4.3.7 o 5.5.4 para múltiples dispositivos RUGGEDCOM ROS listados en SSA-373591;
• SINAMICS PERFECT HARMONY GH180 Drives, todas las versiones;
• SINUMERIK MC y SINUMERIK ONE, todas las versiones;
• versiones anteriores a 1.16.16 de:
  • RWG1.M8;
  • RWG1.M12;
  • RWG1.M12D.
• JT2Go, versiones anteriores a 13.2;
• Teamcenter Visualization, versiones anteriores a 13.2;
• varias versiones de múltiples dispositivos RUGGEDCOM, SCALANCE, SIMATIC y PROFINET listados en SSA-560465, SSA-599968, SSA-675303, SSA-772220 y SSA-941426;
• Teamcenter Active Workspace:
  • para la versión 4, versiones anteriores a 4.3.9;
  • para la versión 5.0, versiones anteriores a 5.0.7;
  • para la versión 5.1, versiones anteriores a 5.1.4.
• SIMATIC PCS 7 V8.2 y anteriores, todas las versiones;
• SIMATIC PCS 7 V9.X, todas las versiones;
• SIMATIC PDM, todas las versiones;
• SIMATIC STEP 7 V5.X, versiones anteriores a 5.7;
• SINAMICS STARTER (contiene la versión STEP 7 OEM), todas las versiones;
• PSS CAPE Protection Simulation Platform, instalaciones CAPE 14 instaladas a partir de material anterior a 16-06-2021;
• SICAM 230, todas las versiones;
• todas las versiones de múltiples dispositivos SINUMERIK listados en SSA-729965;
• todas las versiones de SCALANCE W700 IEEE 802.11ax, SCALANCE W700 IEEE 802.11n, SCALANCE W1700 IEEE 802.11ac y SCALANCE W1750D (consultar SSA-913875 para averiguar qué vulnerabilidad concreta afecta a cada versión).

Descripción:

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución:

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle:

Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 23 avisos de seguridad, de los cuales 5 son actualizaciones.

Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:

• desbordamiento de búfer,
• uso de memoria después de ser liberada (use after free),
• escritura fuera de límites,
• divulgación de información en mensajes de error,
• validación de entrada incorrecta,
• lectura fuera de límites,
• denegación de servicio (DoS),
• omisión de autenticación,
• validación de certificado errónea,
• XSS (Cross-Site Scripting),
• escalada de privilegios,
• spoofing,
• consumo no controlado de recursos,
• ejecución de código.

Los identificadores CVE asignados para estas vulnerabilidades pueden consultarse en la sección VULNERABILITY CLASSIFICATION de cada aviso de Siemens.

Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, Privacidad, SCADA, Siemens, SSL/TLS, Virtualización, Vulnerabilidad