Avisos de seguridad de Siemens de enero de 2021

Fecha de publicación 12/01/2021
Importancia
5 - Crítica
Recursos Afectados
  • SCALANCE X-200 (incluidas las variantes SIPLUS NET), todas las versiones;
  • SCALANCE X-200IRT (incluidas las variantes SIPLUS NET), todas las versiones;
  • SCALANCE X-300 (incluidas las variantes X408 y SIPLUS NET), versiones anteriores a la V4.1.0;
  • JT2Go, versión V13.1.0 y anteriores;
  • Teamcenter Visualization, versión V13.1.0 y anteriores;
  • Solid Edge, versiones anteriores a la SE2021MP2;
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle

Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 12 avisos de seguridad, de los cuales 8 son actualizaciones.

Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:

  • 10 vulnerabilidades de escritura fuera de límites,
  • 6 vulnerabilidades de desbordamiento de búfer basado en pila (Stack),
  • 5 vulnerabilidades de desbordamiento de búfer basado en memoria dinámica (Heap),
  • 2 vulnerabilidades de acceso de recurso mediante un tipo incompatible (confusión de tipos),
  • 2 vulnerabilidades de uso de clave criptográfica embebida,
  • 1 vulnerabilidad de ausencia de autenticación en función crítica,
  • 1 vulnerabilidad de ausencia de referencia a puntero no confiable,
  • 1 vulnerabilidad de restricción incorrecta de referencia a entidad externa XML (XXE),
  • 1 vulnerabilidad de lectura fuera de límites,

Para estas vulnerabilidades se han reservado los siguientes identificadores:

CVE-2020-15799, CVE-2020-15800, CVE-2020-25226, CVE-2020-28391, CVE-2020-28395, CVE-2020-26980, CVE-2020-26981, CVE-2020-26982, CVE-2020-26983, CVE-2020-26984, CVE-2020-26985, CVE-2020-26986, CVE-2020-26987, CVE-2020-26988, CVE-2020-26989,  CVE-2020-26990, CVE-2020-26991, CVE-2020-26992, CVE-2020-26993, CVE-2020-26994, CVE-2020-26995, CVE-2020-26996, CVE-2020-28383, CVE-2020-28381, CVE-2020-28382, CVE-2020-28383, CVE-2020-28384, CVE-2020-28386 y CVE-2020-26989.

Encuesta valoración

Listado de referencias
SSA-139628:VulnerabilitiesinWebServerforScalanceXProducts
SSA-274900:UseofhardcodedkeyinScalanceXdevicesundercertainconditions
SSA-622830:MultipleVulnerabilitiesinJT2GoandTeamcenterVisualization
SSA-979834:MultiplevulnerabilitiesinSolidEdge
ICS Advisory (ICSA-21-012-05) Siemens SCALANCE X Products
ICS Advisory (ICSA-21-012-04) Siemens Solid Edge
ICS Advisory (ICSA-21-012-03) Siemens JT2Go and Teamcenter Visualization
ICS Advisory (ICSA-21-012-02) Siemens SCALANCE X Switches
Etiquetas