Avisos de seguridad de Siemens de abril de 2023

Fecha de publicación 11/04/2023
Importancia
5 - Crítica
Recursos Afectados
  • Todas las versiones de TIA Portal:
    • 15,
    • 16,
    • 17,
    • anteriores a 18 Update 1.
  • Distintas versiones y modelos de SIPROTEC 5 listados en SSA-322980.
  • Versiones anteriores a CPCI85 05 de:
    • CP-8031 MASTER MODULE (6MF2803-1AA00),
    • CP-8050 MASTER MODULE (6MF2805-0AA00).
  • Versiones anteriores a 5.5.2 de distintos modelos de SCALANCE y SIPLUS listados en SSA-479249.
  • SCALANCE XCM332 (6GK5332-0GA01-2AC2), versiones anteriores a 2.2.
  • Distintas versiones y modelos de SIMATIC, SIPLUS y TIM listados en SSA-511182. SSA-566905, SSA-691715 y SSA-813746.
  • Solid Edge SE2023, todas las versiones.
  • JT2Go, versiones anteriores a 14.2.0.2.
  • Distintas versiones de Teamcenter Visualization listados en SSA-629917.
  • Polarion ALM, versiones anteriores a 2304.0.
  • JT Open, versiones anteriores a 11.3.2.0.
  • JT Utilities, versiones anteriores a 13.3.0.0.
  • OpenPCS 7 V9.1, todas las versiones.
  • TeleControl Server Basic V3, todas las versiones.
  • Mendix Forgot Password, versiones anteriores a:
    • 3.7.1;
    • 4.1.1;
    • 5.1.1.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 nuevos avisos de seguridad, recopilando un total de 26 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • inyección de comandos (CVE-2023-28489);
  • permisos por defecto incorrectos (CVE-2022-32207);
  • uso de memoria después de ser liberada (CVE-2022-40674);
  • desbordamiento de enteros en memoria (CVE-2020-35198).

El listado completo de identificadores CVE puede consultarse en las referencias.

Encuesta valoración

Listado de referencias
SSA-116924: Path Traversal Vulnerability in TIA Portal
SSA-322980: Denial of Service Vulnerability in SIPROTEC 5 Devices
SSA-472454: Command Injection Vulnerability in CPCI85 Firmware of SICAM A8000 Devices
SSA-479249: Weak Encryption Vulnerability in SCALANCE X-200IRT Devices
SSA-511182: Use of Static TLS Certificate Known Hard Coded Private Keys in Adaptec Maxview Application
SSA-558014: Third-Party Component Vulnerabilities in SCALANCE XCM332 before V2.2
SSA-566905: Multiple Denial of Service Vulnerabilities in the Webserver of Industrial Products
SSA-572164: Luxion KeyShot Vulnerability in Solid Edge
SSA-629917: Datalogics File Parsing Vulnerability in Teamcenter Visualization and JT2Go
SSA-632164: External Entity Injection Vulnerability in Polarion ALM
SSA-642810: JT File Parsing Vulnerability in JT Open and JT Utilities
SSA-691715: Vulnerability in OPC Foundation Local Discovery Server Affecting Siemens Products
SSA-699404: Observable Response Discrepancy in Mendix Forgot Password Module
SSA-813746: BadAlloc Vulnerabilities in SCALANCE X-200, X-200IRT, and X-300 Switch Families
Etiquetas