Publicación de vulnerabilidades de Siemens en enero

Descripción

Siemens ha publicado en su comunicación mensual de parches de seguridad un total de 12 avisos de seguridad, de los cuales 8 son actualizaciones. Estos corrigen una serie de vulnerabilidades que se corresponden con las siguientes:

  • 10 vulnerabilidades de escritura fuera de límites
  • 6 vulnerabilidades de desbordamiendo de búfer basado en pila (Stack)
  • 5 vulnerabilidades de desbordamiento de búfer basado en memoria dinámica (Heap)
  • 2 vulnerabilidades de acceso de recurso mediante un tipo incompatible (confusión de tipos)
  • 2 vulnerabilidades de uso de clave criptográfica embebida
  • 1 vulnerabilidad de ausencia de autenticación en función crítica
  • 1 vulnerabilidad de ausencia de referencia a puntero no confiable
  • 1 vulnerabilidad de restricción incorrecta de referencia a entidad externa XML (XXE)
  • 1 vulnerabilidad de lectura fuera de límites

Para estas vulnerabilidades se han reservado los siguientes identificadores: CVE-2020-15799, CVE-2020-15800, CVE-2020-25226, CVE-2020-28391, CVE-2020-28395, CVE-2020-26980, CVE-2020-26981, CVE-2020-26982, CVE-2020-26983, CVE-2020-26984, CVE-2020-26985, CVE-2020-26986, CVE-2020-26987, CVE-2020-26988, CVE-2020-26989, CVE-2020-26990, CVE-2020-26991, CVE-2020-26992, CVE-2020-26993, CVE-2020-26994, CVE-2020-26995, CVE-2020-26996, CVE-2020-28383, CVE-2020-28381, CVE-2020-28382, CVE-2020-28383, CVE-2020-28384, CVE-2020-28386 y CVE-2020-26989.

Recursos afectados

Los productos que se han visto afectados por estas vulnerabilidades son los siguientes:

  • SCALANCE X-200 (incluidas las variantes SIPLUS NET), todas las versiones
  • SCALANCE X-200IRT (incluidas las variantes SIPLUS NET), todas las versiones
  • SCALANCE X-300 (incluidas las variantes X408 y SIPLUS NET), versiones anteriores a la V4.1.0
  • JT2Go, versión V13.1.0 y anteriores
  • Teamcenter Visualization, versión V13.1.0 y anteriores
  • Solid Edge, versiones anteriores a la SE2021MP2

Solución

Se recomienda actualizar a la última versión disponible para solucionar estos fallos de seguridad. No obstante, hay algunas que no se arreglan al actualizar, por lo que se indican una serie de enlaces donde se explica cómo solucionarlo. En el enlace, en el apartado de «WORKAROUNDS AND MITIGATIONS», se explica cómo hacerlo.

Referencias

Descarga de actualizaciones

SCALANCE X – Vulnerabilidades en el servidor web

SCALANCE X – Uso de claves «hardcodeadas»

JT2Go y Teamcenter Visualization

Solid Edge

Artículos relacionados

Etiqueta Seresco