Inicio / Alerta Temprana / Avisos Sci / Avisos de seguridad de Siemens de febrero de 2022

Avisos de seguridad de Siemens de febrero de 2022

Fecha de publicación: 
08/02/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Distintos modelos y versiones listados en SSA-244969 , SSA-539476 , SSA-838121 y SSA-914168 de productos RUGGEDCOM, SCALANCE, SIMATIC, SINEC, SINEMA, SINUMERIK, SIPLUS, TIA Administrator y TIM.
  • Todas las versiones de:
    • JT2Go;
    • Teamcenter Visualization V12.4 y V13.2;
    • Simcenter Femap V2020.2 y V2021.1;
    • SICAM TOOLBOX II.
  • Solid Edge SE2021, versiones anteriores a SE2021MP9 (solo afectados por CVE-2021-44000, CVE-2021-44016 y CVE-2021-44018).
  • Solid Edge SE2022, versiones anteriores a SE2022MP1 (solo afectados por CVE-2021-44000, CVE-2021-44016 y CVE-2021-44018).
  • Teamcenter Visualization V13.1:
    • todas las versiones (solo afectados por CVE-2021-43336, CVE-2021-44000, CVE-2021-44016, CVE-2021-44018);
    • versiones anteriores a 13.1.0.8 (solo afectados por CVE-2021-38405).
  • Teamcenter Visualization V13.3:
    • todas las versiones (solo afectados por CVE-2021-43336);
    • versiones anteriores a 13.3.0.1 (solo afectados por CVE-2021-38405, CVE-2021-44000, CVE-2021-44016 y CVE-2021-44018).
  • SINEMA Remote Connect Server, versiones anteriores a 2.0.
  • Spectrum Power 4, versiones anteriores a 4.70 SP9 Security Patch 1.
Descripción: 

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución: 

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle: 

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 9 nuevos avisos de seguridad.

  • Las aplicaciones afectadas utilizan un control de acceso eludible dentro de un servicio de base de datos, lo que podría permitir a un atacante acceder a la base de datos. Se ha asignado el identificador CVE-2021-45106 para esta vulnerabilidad crítica.

Los tipos de nuevas vulnerabilidades, no críticas, publicadas se corresponden con los siguientes:

  • lectura fuera de límites,
  • restricción inadecuada de operaciones dentro de los límites del búfer de memoria,
  • escritura fuera de límites,
  • desbordamiento de búfer,
  • desbordamiento de enteros,
  • confusión de tipos de archivos,
  • redirección abierta,
  • Cross-Site Scripting (XSS),
  • denegación de servicio (DoS),
  • exposición de información sensible,
  • archivos o directorios externos con acceso a información sensible.

Los identificadores CVE asignados para estas vulnerabilidades, no críticas, pueden consultarse en la sección 'vulnerability classification' de cada aviso de Siemens.

Encuesta valoración