Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Automation License Manager (ALM) de Siemens

Múltiples vulnerabilidades en Automation License Manager (ALM) de Siemens

Fecha de publicación: 
13/10/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Automation License Manager (ALM), todas las versiones anteriores a la V5.3 SP3 Update 1

Descripción: 

Sergey Temnikov y Vladimir Dashchenko del Critical Infrastructure Defence Team de Kaspersky Lab han coordinado junto con Siemens la publicación estas vulnerabilidades.

Solución: 

Siemens ha publicado la versión versión V5.3 SP3 Update 1 de Automation License Manager (ALM) que soluciona estas vulnerabilidades.

Detalle: 

Las vulnerabilidades publicadas son:

  • Denegación de servicio: Un atacante remoto puede enviar paquetes especialmente modificados al puerto 4410/TCP que pueden causar una denegación de servicio. El servicio debe ser reiniciado de forma manual para recuperarse. Se ha reservado el identificador CVE-2016-8563 para esta vulnerabilidad.
  • Inyección SQL: Un atacante remoto puede realizar una inyección SQL por el puerto 4410/TCP que le permite leer y escribir opciones de configuración de Automation License Manager (ALM). Se ha reservado el identificador CVE-2016-8564 para esta vulnerabilidad.
  • Salto de directorio: Un atacante remoto podría usar paquetes especialmente manipulados para subir ficheros al disco duro, crear o borrar directorio o mover ficheros existentes en el disco duro. Se ha reservado el identificador CVE-2016-8565 para esta vulnerabilidad.