Avisos de seguridad de Siemens de marzo de 2024

Fecha de publicación 07/03/2024
Importancia
5 - Crítica
Recursos Afectados
  • Siveillance Control,
  • Cerberus PRO EN,
  • SCALANCE,
  • SIPLUS,
  • RUGGEDCOM APE1808,
  • Solid Edge,
  • SINEMA Remote Connect Server/Client,
  • SIMATIC RF160B,
  • SENTRON 7KM y 3KC.

Consultar modelos concretos y versiones afectadas en la sección de 'Referencias'.

Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 11 nuevos avisos de seguridad, recopilando un total de 214 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • desbordamiento de búfer (CVE-2024-22039, CVE-2023-27997, CVE-2023-33308 y CVE-2021-1972);
  • validación incorrecta de datos de entrada (CVE-2023-25610);
  • control de acceso inadecuado (CVE-2022-32257);
  • escritura fuera de límites (CVE-2024-21762, CVE-2021-0396, CVE-2021-0474, CVE-2021-0515, CVE-2021-39623 y CVE-2022-20229);
  • uso de una cadena de formato controlada externamente (CVE-2024-23113);
  • doble llamada a la misma dirección de memoria (CVE-2021-0397 y CVE-2022-20127);
  • referencia a memoria ya liberada (CVE-2021-0516 y CVE-2021-1976);
  • comprobación inadecuada de condiciones inusuales o excepcionales (CVE-2022-20130);
  • lectura fuera de límites (CVE-2022-20472 y CVE-2022-20473).

El listado completo de identificadores CVE puede consultarse en las referencias.

Listado de referencias
SSA-918992: Unused HTTP Service on SENTRON 3KC ATC6 Ethernet Module
SSA-225840: Vulnerabilities in the Network Communication Stack in Sinteso EN and Cerberus PRO EN Fire Protection Systems
SSA-353002: Multiple Vulnerabilities in SCALANCE XB-200 / XC-200 / XP-200 / XF-200BA / XR-300WG Family
SSA-366067: Multiple Vulnerabilities in Fortigate NGFW before V7.4.1 on RUGGEDCOM APE1808 devices
SSA-382651: File Parsing Vulnerability in Solid Edge before V223.0.11
SSA-576771: Multiple Vulnerabilities in SINEMA Remote Connect Server before V3.2
SSA-653855: Information Disclosure vulnerability in SINEMA Remote Connect Client before V3.1 SP1
SSA-770721: Multiple Vulnerabilities in SIMATIC RF160B before V2.2
SSA-792319: Missing Read Out Protection in SENTRON 7KM PAC3x20 Devices
SSA-832273: Multiple Vulnerabilities in Fortigate NGFW on RUGGEDCOM APE1808 devices
SSA-145196: Authorization Bypass Vulnerability in Siveillance Control
ICSA-24-074-01 - Siemens SENTRON 7KM PAC3x20
ICSA-24-074-02 - Siemens Solid Edge
ICSA-24-074-03 - Siemens SINEMA Remote Connect Server
ICSA-24-074-04 - Siemens SINEMA Remote Connect Client
ICSA-24-074-05 - Siemens RUGGEDCOM APE1808
ICSA-24-074-06 - Siemens SENTRON
ICSA-24-074-07 - Siemens SIMATIC
ICSA-24-074-08 - Siemens SCALANCE XB-200/XC-200/XP-200/XF-200BA/XR-300WG Family
ICSA-24-074-09 - Siemens Sinteso EN Cerberus PRO EN Fire Protection Systems
ICSA-24-074-10 - Siemens Siveillance Control
ICSA-24-074-11 - Siemens RUGGEDCOM APE1808 with Fortigate NGFW Devices
Etiquetas