Avisos de seguridad de Siemens de noviembre de 2023

Fecha de publicación 14/11/2023
Importancia
5 - Crítica
Recursos Afectados
  • Simcenter Femap,
  • Desigo CC product family,
  • SIPROTEC 4 7SJ66,
  • Tecnomatix Plant Simulation,
  • SCALANCE,
  • SIPLUS,
  • SIMATIC,
  • RUGGEDCOM APE1808,
  • Mendix Studio,
  • Siemens OPC UA Modelling Editor (SiOME),
  • SINEC PNI,
  • COMOS,
  • Mendix Applications.

Consultar modelos concretos y versiones afectadas en la sección de 'Referencias'.

Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 nuevos avisos de seguridad, recopilando un total de 84 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • exceso de lectura de búfer (CVE-2021-20093);
  • inyección de código (CVE-2023-44373);
  • desbordamiento de búfer de memoria heap (CVE-2023-3935);
  • desbordamiento de búfer (CVE-2019-12255, CVE-2019-12256, CVE-2019-12260, CVE-2019-12261, CVE-2023-43504, CVE-2022-23218 y CVE-2022-23219);
  • error de validación de origen (CVE-2019-12262);
  • escritura fuera de límites (CVE-2022-37434);
  • inyección de código en una aplicación que analiza datos XML (CVE-2020-25020);
  • control de acceso inadecuado (CVE-2023-43505 y CVE-2023-46601).

El listado completo de identificadores CVE puede consultarse en las referencias.

Listado de referencias
SSA-887122: X_T File Parsing Vulnerabilities in Simcenter Femap
SSA-699386: Multiple Vulnerabilities in SCALANCE XB-200 / XC-200 / XP-200 / XF-200BA / XR-300WG Family before V4.5
SSA-625850: Multiple WIBU Systems CodeMeter Vulnerabilities Affecting the Desigo CC Product Family
SSA-617233: Urgent/11 TCP/IP Stack Vulnerabilities in SIPROTEC 4 7SJ66 Devices
SSA-478780: Multiple WRL File Parsing Vulnerabilities in Tecnomatix Plant Simulation
SSA-457702: Wi-Fi Encryption Bypass Vulnerabilities in SCALANCE W700 Product Family
SSA-456933: Multiple Vulnerabilities in SIMATIC PCS neo before V4.1
SSA-292063: Multiple Vulnerabilities in Nozomi Guardian/CMC before 22.6.3 and 23.1.0 on RUGGEDCOM APE1808 devices
SSA-268517: Code Execution Vulnerability (libwebp CVE-2023-4863) in Mendix Studio Pro
SSA-197270: Information Disclosure Vulnerability in Siemens OPC UA Modeling Editor (SiOME)
SSA-150063: Multiple Vulnerabilities in SINEC PNI before V2.0
SSA-137900: Multiple Vulnerabilities in COMOS
SSA-099606: Multiple Vulnerabilities in SIMATIC MV500 before V3.3.5
SSA-084182: Privilege Escalation Vulnerability in Mendix Runtime
ICSA-23-320-03 - Siemens Desigo CC product family
ICSA-23-320-04 - Siemens Mendix Runtime
ICSA-23-320-05 - Siemens SCALANCE W700
ICSA-23-320-06 - Siemens SIMATIC PCS neo
ICSA-23-320-07 - Siemens OPC UA Modeling Editor (SiOME)
ICSA-23-320-08 - Siemens SCALANCE Family Products
ICSA-23-320-09 - Siemens COMOS
ICSA-23-320-10 - Siemens SIPROTEC 4 7SJ66
ICSA-23-320-11 - Siemens Mendix Studio Pro
ICSA-23-320-12 - Siemens PNI
ICSA-23-320-13 - Siemens SIMATIC MV500
ICSA-23-320-14 - Siemens RUGGEDCOM APE1808 Devices
Etiquetas