Siemens и Schneider Electric устранили более 40 уязвимостей в своих продуктах

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

16 сентября 2021 года

Компании Siemens и Schneider Electric опубликовали в общей сложности 25 бюллетеней по устранению более 40 уязвимостей, затрагивающих их продукты для промышленных предприятий.

Siemens выпустила 21 новый бюллетень и обновила 25 ранее опубликованных бюллетеней. Новые бюллетени охватывают 36 уязвимостей, в том числе пять критических проблем. Одна из критических уязвимостей, получившая максимальные 10 баллов по шкале CVSS, затрагивает платформу управления строительством Desigo CC и станцию ​​управления опасностями (danger management station, DMS) Cerberus. Уязвимость десериализации может позволить неавторизованному злоумышленнику выполнить произвольный код на системе. Риск эксплуатации выше для систем, подключенных непосредственно к интернету.

Другая критическая проблема с оценкой в 10 баллов по шкале CVSS — уязвимость внедрения команд, затрагивающая приложение Siveillance Open Interface Services (OIS). Проблема может быть использована удаленным неавторизованным злоумышленником для выполнения кода с привилегиями суперпользователя.

Критической также является уязвимость переполнению буфера в web-сервере устройств автоматизации APOGEE и TALON. Удаленный злоумышленник может использовать проблему для выполнения произвольного кода с привилегиями суперпользователя.

В приложении Siemens Industrial Edge устранена критическая проблема, которая может позволить неавторизованному злоумышленнику изменить пароль любого пользователя в системе.

Еще одна критическая проблема затрагивает реле SIPROTEC 5 и может позволить удаленному злоумышленнику вызвать состояние отказа в обслуживании (DoS) или выполнить произвольный код.

Устранены опасные проблемы в устройствах Ruggedcom ROX (уязвимость перехвата контроля над устройством), Simcenter STAR-CCM + Viewer (выполнение кода или хищение данных), Siemens NX (нарушение доступа и потенциальное выполнение кода), SINEC NMS (загрузка файлов из файловой системы и управление конфигурацией), переключателях SCALANCE (DoS), Teamcenter (перехват контроля над учетной записью и несанкционированный доступ к данным), модулях SIMATIC NET CP (DoS), LOGO! CMR и SIMATIC RTU 3000 (DoS), SIPROTEC 5 (DoS), RFID-терминалах (выполнение кода) и SINEMA Remote Connect Server (DoS).

Компания Schneider Electric выпустила четыре уведомления, охватывающих в общей сложности семь уязвимостей. Две проблемы затрагивают продукт StruxureWare Data Center Expert для управления физической инфраструктурой. Обе критические уязвимости могут позволить злоумышленнику удаленно выполнить произвольный код.

В продуктах EcoStruxure Control Expert, EcoStruxure Process Expert и SCADAPack RemoteConnect выявлена уязвимость, позволяющая выполнить произвольный код. Для успешной эксплуатации злоумышленнику потребуется обманом заставить жертву открыть файл вредоносного проекта.

В компоненте web-сервера ПЛК Modicon M340 исправлены три опасных проблемы. Они могут быть использованы для получения конфиденциальной информации или вызова состояния DoS.

Источники[править]

Эта статья содержит материалы из статьи «Siemens и Schneider Electric устранили более 40 уязвимостей в своих продуктах», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).
Creative Commons
Creative Commons
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Siemens_и_Schneider_Electric_устранили_более_40_уязвимостей_в_своих_продуктах&oldid=14884835