Avisos de seguridad de Siemens de junio de 2022

Fecha de publicación: 16/06/2022

Importancia:
Crítica

Recursos afectados:

  • Xpedition Designer, versiones anteriores a X.2.11;
  • SINEMA Remote Connect Server, versiones anteriores a 3.0 SP2;
  • Mendix SAML Module:
    • Mendix 7, versiones anteriores a 1.16.6;
    • Mendix 8, versiones anteriores a 2.2.2;
    • Mendix 9, versiones anteriores a 3.2.3.
  • Distintos modelos y versiones de OPC UA Connector, PROFINET IO Connector, SIMATIC, RUGGEDCOM, SCALANCE, SINEMA, SIPLUS, TeleControl Server Basic, TIA y TIM listados en varios avisos del fabricante.
  • Todas las versiones de EN100 Ethernet module:
    • DNP3 IP,
    • IEC 104,
    • IEC 61850,
    • Modbus TCP,
    • PROFINET IO.
  • Teamcenter Active Workspace:
    • versiones anteriores a 5.2.9;
    • versiones anteriores a 6.0.3.
  • Todas las versiones que usan Shared HIS en Spectrum Power 4, 7 y MGMS.

Descripción:

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución:

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle:

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 nuevos avisos de seguridad, recopilando un total de 15 vulnerabilidades críticas, 18 altas, 24 medias y 2 bajas.

Los tipos de nuevas vulnerabilidades críticas publicadas se corresponden con los siguientes:

  • Escritura fuera de límites – CVE-2021-39275.
  • Server-Side Request Forgery (SSRF) – CVE-2021-40438.
  • Error de validación de origen – CVE-2022-30228.
  • Falta de autentificación en una función crítica – CVE-2022-30229, CVE-2022-30230.
  • Desbordamiento o ajuste de enteros –  CVE-2022-22822, CVE-2022-22823, CVE-2022-22824 y CVE-2022-23990.
  • Codificación o escape incorrecto de la salida –  CVE-2022-25235.
  • Exposición del recurso a la esfera equivocada – CVE-2022-25236.
  • Desbordamiento de enteros o envoltura – CVE-2022-25315.
  • Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal) –  CVE-2020-27304.
  • Uso de credenciales en texto claro – CVE-2022-31619.

Encuesta valoración

Etiquetas:
Actualización, Apache, Comunicaciones, Infraestructuras críticas, Linux, Privacidad, SCADA, Siemens, SSL/TLS

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.