《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > ICS周二补丁日:西门子和施耐德电气搞定50多个漏洞

ICS周二补丁日:西门子和施耐德电气搞定50多个漏洞

2021-10-19
来源:网空闲话
关键词: 西门子 施耐德 漏洞

  工业巨头西门子(Siemens)和施耐德电气(Schneider Electric)周二发布了近12份安全警告,描述了影响其产品的总共50多个漏洞。两家公司已经发布了补丁和缓解措施来解决这些漏洞。

  西门子

  西门子发布了5个新的警告,涉及33个漏洞。该公司通知客户,其SINEC网络管理系统的更新修补了15个漏洞,其中包括可被任意代码执行利用的漏洞。虽然其中一些已经被分配了高严重性级别,但是利用漏洞需要身份验证。

  Siemens ProductCERT调查所有安全问题报告,并发布安全公告,针对直接涉及Siemens产品并要求应用更新、执行升级或其他客户操作的已验证的安全漏洞。作为帮助操作人员管理安全风险和保护系统的持续努力的一部分,Siemens ProductCERT公开了操作人员评估安全漏洞影响所需的必要信息。

  对于SCALANCE W1750D基于控制器的直接访问点,西门子发布了涵盖15个漏洞的补丁和缓解措施,其中包括允许远程、未经身份验证的攻击者在底层操作系统上引发DoS条件或执行任意代码的关键漏洞。W1750D是一款来自Aruba的品牌设备,大部分缺陷都存在于ArubaOS操作系统中。

  该公司还向客户通报了SIMATIC Process history中的一个关键身份验证漏洞。攻击者可以利用该漏洞插入、修改或删除数据。

  剩下的两个警告针对SINUMERIK控制器和RUGGEDCOM ROX设备中的高严重拒绝服务(DoS)漏洞。在RUGGEDCOM设备的情况下,未经身份验证的攻击者在某些情况下可能导致永久性DoS条件。

  施耐德电气

  施耐德电气发布了6条新警告,涉及20个漏洞。一份咨询报告描述了11个Windows漏洞对该公司Conext太阳能发电厂产品的影响。微软在2019年和2020年修补了这些安全漏洞,其中许多漏洞具有严重或高严重级别。

  另一份报告描述了两个影响施耐德IGSS SCADA系统的严重漏洞,一个是高严重漏洞,一个是中等严重漏洞。该公司表示,最糟糕的情况是,“可能导致攻击者进入运行IGSS的机器的Windows操作系统。”

  该公司还告知用户spaceLYnk、wise For KNX和fellerLYnk产品存在严重的信息泄露漏洞,以及ConneXium网络管理软件存在严重的命令执行问题。

  最后一条建议描述了两个AMNESIA的影响:Modicon TM5模块上的33个漏洞。AMNESIA:33是去年在四个开源TCP/IP协议栈中发现的33个缺陷的名称。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。