聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
西门子发布了9份安全公告,修复了27个漏洞。从CVSS评分来看,最重要的“严重”级别的漏洞是CVE-2021-45016。该漏洞和硬编码凭据有关,暴露了和 SICAM TOOLBOX II 工程解决方案有关的数据库。
另外一份重要的安全公告说明了三个高危的拒绝服务漏洞,无需认证,攻击者即可利用这些漏洞攻击企业的控制器。
西门子还修复了位于 SIMATIC、SINEMA 和 SCALANCE 产品中的多个高危漏洞,这些产品中都使用了第三方 strongSwan 组件。虽然这些缺陷可被用于发动拒绝服务攻击,但在某些情况下其中一个漏洞可导致远程代码执行后果。
西门子还修复或缓解了位于 Solid Edge、JT2Go、Teamcenter Visualization 和 Simcenter Femap 中的漏洞。攻击者可诱骗目标用户打开特别构造的文件利用这些漏洞。攻击者可利用这些弱点实施拒绝服务攻击或远程代码执行攻击。
西门子公司还发布一份安全公告,提醒客户注意影响其很多款产品的高危OpenSSL 缺陷。西门子已为某些产品提供补丁,但其它一些产品仅有一些缓解措施且并不打算发布更新。
西门子还修复了位于 SINEMA Remote Connect Server、Spectrum Power 4 和SIMATICWinCC 和 PCS中的多个中危漏洞。
施耐德电气公司发布了6份安全公告,说明了20个漏洞情况。
交互式图形 SCADA 系统 (IGSS) 中共出现8个漏洞,其中很多是“严重“和“高危”级别。这些漏洞可导致远程代码执行、数据泄露和SCADA 系统控制丢失等后果。
这些漏洞是由 Tenable公司的研究员和 Vyacheslav Moskvin 发现的,后者通过ZDI 项目报送。虽然 ZDI 项目尚未公开相关安全公告,但 Tenable 公司已发布相关技术详情。
施耐德电气 spaceLYnk、Wiser For KNX 和 fellerLYnk 产品中也存在严重漏洞和高危漏洞。施耐德电气公司还发布安全公告,说明了位于 EcoStruxure EV Charging Expert、Easeregy P40、Harmony//Magelis iPC 中的高危和中危漏洞。这些弱点可被用于越权访问系统、提升本地权限、破坏或失去防护能力。
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-nearly-50-vulnerabilities
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):工控2月补丁星期二:西门子、施耐德电气修复近50个漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论