Avisos de seguridad de Siemens de mayo de 2024

Fecha de publicación 14/05/2024
Importancia
5 - Crítica
Recursos Afectados
  • Parasolid;
  • SIMATIC;
  • Simcenter Nastran;
  • RUGGEDCOM;
  • Solid Edge;
  • JT2Go;
  • Teamcenter Visualization;
  • CPC80 y CPCI85 Central Processing/Communication;
  • OPUPI0 AMQP/MQTT;
  • SICORE Base system;
  • Tecnomatix Plant Simulation;
  • Polarion ALM;
  • Cerberus PRO UL;
  • Desigo Fire Safety UL;
  • S7-PCT;
  • Security Configuration Tool (SCT);
  • SINUMERIK;
  • TIA Portal;
  • PS/IGES Parasolid Translator Component.

Consultar modelos concretos y versiones afectadas en las referencias.

Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 15 nuevos avisos de seguridad, recopilando un total de 70 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • uso de claves criptográficas codificadas (CVE-2024-30207);
  • transmisión sin cifrar de información sensible (CVE-2024-30209);
  • asignación de permisos incorrecta para recurso crítico (CVE-2024-33499);
  • uso de credenciales sin cifrar (CVE-2024-32740 y CVE-2024-32741);
  • falta de autorización (CVE-2024-27939);
  • desbordamiento de búfer (CVE-2024-22039).

El listado completo de identificadores CVE puede consultarse en las referencias.