Avisos de seguridad de Siemens de junio de 2021

Fecha de publicación 08/06/2021
Importancia
5 - Crítica
Recursos Afectados
  • Simcenter Femap:
    • 2020.2, versiones anteriores a 2020.2.MP3;
    • 2020.1, versiones anteriores a 2021.1.MP3.
  • SIMATIC TIM 1531 IRC (incluyendo variantes SIPLUS NET), versiones anteriores a 2.2;
  • Solid Edge:
    • SE2020, versiones anteriores a 2020MP14;
    • SE2021, versiones anteriores a SE2021MP5.
  • SIMATIC NET CP 443-1 OPC UA, todas las versiones;
  • Mendix SAML Module, versiones anteriores a 2.1.2;
  • JT2Go, versiones anteriores a 13.1.0.3;
  • Teamcenter Visualization, versiones anteriores a 13.1.0.3;
  • versiones superiores a 1.1 e inferiores a 1.3.2 de los productos SIMATIC:
    • RF166C,
    • RF185C,
    • RF186C,
    • RF186CI,
    • RF188C,
    • RF188CI.
  • SIMATIC RF360R, todas las versiones;
  • versiones superiores a 3.0 de los productos SIMATIC:
    • RF615R,
    • RF680R,
    • RF685R.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle

Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 17 avisos de seguridad, de los cuales 9 son actualizaciones.

Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:

  • escritura fuera de límites,
  • divulgación de información,
  • validación de certificado errónea,
  • validación incorrecta del certificado,
  • denegación de servicio (DoS),
  • desbordamiento de búfer,
  • omisión de autenticación,
  • cálculos incorrectos,
  • condición de carrera,
  • spoofing,
  • lectura fuera de límites,
  • consumo no controlado de recursos,
  • escalada de privilegios,
  • ejecución de código.

Para estas vulnerabilidades se han asignado los siguientes identificadores: CVE-2021-27387, CVE-2021-27399, CVE-2020-8169, CVE-2020-8286, CVE-2021-31342, CVE-2021-31343, CVE-2016-9042, CVE-2017-6458, CVE-2016-7431, CVE-2016-7433, CVE-2015-7853, CVE-2016-4953, CVE-2016-4954, CVE-2016-495, CVE-2016-4956, CVE-2015-7705, CVE-2015-8138, CVE-2016-1547, CVE-2016-1548, CVE-2016-1550, CVE-2016-2518, CVE-2018-0732, CVE-2021-33712, CVE-2021-27390 y CVE-2021-31340.

Encuesta valoración

Listado de referencias
SSA-133038: Multiple Modfem File Parsing Vulnerabilities in Simcenter Femap
SSA-200951: Multiple Vulnerabilities in Third-Party Component libcurl of TIM Devices
SSA-208356: DFT File Parsing Vulnerabilities in Solid Edge
SSA-211752: Multiple NTP-Client Related Vulnerabilities in SIMATIC NET CP 443-1 OPC UA
SSA-419820: Denial-of-Service Vulnerability in TIM 1531 IRC
SSA-522654: Privilege Escalation Vulnerability in Mendix SAML Module
SSA-645530: TIFF File Parsing Vulnerability in JT2Go and Teamcenter Visualization before V13.1.0.3
SSA-787292: Denial-of-Service Vulnerability in SIMATIC RFID Readers
ICS Advisory (ICSA-21-159-07) Siemens Mendix SAML Module
ICS Advisory (ICSA-21-159-08) Siemens TIM 1531 IRC
ICS Advisory (ICSA-21-159-09) Siemens Solid Edge
ICS Advisory (ICSA-21-159-10) Siemens SIMATIC TIM libcurl
ICS Advisory (ICSA-21-159-11) Siemens SIMATIC NET CP 443-1 OPC UA
ICS Advisory (ICSA-21-159-12) Siemens Simcenter Femap
ICS Advisory (ICSA-21-159-13) Siemens SIMATIC RFID
ICS Advisory (ICSA-21-159-14) Siemens JT2Go and Teamcenter Visualization
Etiquetas