工控2月补丁星期二:西门子、施耐德电气修复近50个漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周二,工业巨头西门子和施耐德电气公司共发布了15份安全公告,修复了近50个漏洞。
西门子
西门子发布了9份安全公告,修复了27个漏洞。从CVSS评分来看,最重要的“严重”级别的漏洞是CVE-2021-45016。该漏洞和硬编码凭据有关,暴露了和 SICAM TOOLBOX II 工程解决方案有关的数据库。
另外一份重要的安全公告说明了三个高危的拒绝服务漏洞,无需认证,攻击者即可利用这些漏洞攻击企业的控制器。
西门子还修复了位于 SIMATIC、SINEMA 和 SCALANCE 产品中的多个高危漏洞,这些产品中都使用了第三方 strongSwan 组件。虽然这些缺陷可被用于发动拒绝服务攻击,但在某些情况下其中一个漏洞可导致远程代码执行后果。
西门子还修复或缓解了位于 Solid Edge、JT2Go、Teamcenter Visualization 和 Simcenter Femap 中的漏洞。攻击者可诱骗目标用户打开特别构造的文件利用这些漏洞。攻击者可利用这些弱点实施拒绝服务攻击或远程代码执行攻击。
西门子公司还发布一份安全公告,提醒客户注意影响其很多款产品的高危OpenSSL 缺陷。西门子已为某些产品提供补丁,但其它一些产品仅有一些缓解措施且并不打算发布更新。
西门子还修复了位于 SINEMA Remote Connect Server、Spectrum Power 4 和SIMATICWinCC 和 PCS中的多个中危漏洞。
施耐德电气
施耐德电气公司发布了6份安全公告,说明了20个漏洞情况。
交互式图形 SCADA 系统 (IGSS) 中共出现8个漏洞,其中很多是“严重“和“高危”级别。这些漏洞可导致远程代码执行、数据泄露和SCADA 系统控制丢失等后果。
这些漏洞是由 Tenable公司的研究员和 Vyacheslav Moskvin 发现的,后者通过ZDI 项目报送。虽然 ZDI 项目尚未公开相关安全公告,但 Tenable 公司已发布相关技术详情。
施耐德电气 spaceLYnk、Wiser For KNX 和 fellerLYnk 产品中也存在严重漏洞和高危漏洞。施耐德电气公司还发布安全公告,说明了位于 EcoStruxure EV Charging Expert、Easeregy P40、Harmony//Magelis iPC 中的高危和中危漏洞。这些弱点可被用于越权访问系统、提升本地权限、破坏或失去防护能力。
推荐阅读
工控补丁星期二:西门子、施耐德电气修复40个漏洞
很多工控产品都在用的 CODESYS 软件中被曝10个严重漏洞
黑客利用 VPN 漏洞远程入侵工控系统
通过条形码扫描器攻击工控系统
我从1组工控系统蜜罐中捞了4个 0day exploits
原文链接
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-nearly-50-vulnerabilities
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
工控2月补丁星期二:西门子、施耐德电气修复近50个漏洞相关推荐
- 微软11月补丁星期二值得关注的6个0day及其它
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 概要 微软在11月补丁星期二共修复了55个漏洞,其中6个是0day且均已遭利用.在这55个漏洞中,6个是"严重"等级,49个 ...
- 微软2月补丁星期二值得关注的漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2022年2月,微软共发布了51个新补丁,本月早些时候微软Edge (Chromium) 修复了另外19个CVE,因此微软本月共修复了70个CV ...
- 微软4月补丁星期二修复119个漏洞,含2个0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 北京时间4月13日,微软发布4月补丁星期二,共修复119个漏洞,其中2个为0day:1个已遭利用,1个已遭公开但未遭利用. 微软共修复了119个 ...
- 微软3月补丁星期二修复71个漏洞,其中3个是0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软发布三月补丁星期二,修复了71个漏洞(不含21个微软 Edge漏洞),其中3个是0day漏洞. 微软修复的漏洞如下: 25个提权漏洞 3个安 ...
- 微软1月补丁星期二值得关注的蠕虫及其它
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软发布的2022年1月补丁星期二中共包括96个漏洞,加上本月更早时候修复了24个基于 Chromium 的 Edge 浏览器CVE 漏洞和2个 ...
- 微软12月补丁星期二值得关注的6个0day及其它
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 北京时间2021年12月15日,微软发布12月补丁星期二共修复了67个漏洞,其中6个是0day 且其中1个已遭利用. 12月初,微软修复了16个 ...
- 微软9月补丁星期二值得关注的0day、终于落幕的 PrintNightmare及其它
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 北京时间2021年9月15日,微软发布补丁星期二,共修复了66个CVE漏洞,加上月初发布的基于 Chromium 的 Edge 浏览器的20个漏 ...
- 微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,微软发布8月补丁星期二,共修复了44个漏洞,其中7个被评级为"严重"级别,3个是0day 且其中1个已遭利用. 受影响 ...
- 微软发布5月补丁星期二:3个0day,1个蠕虫
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 微软发布5月补丁星期二,共修复了55个漏洞,其中4个是"严重"级别,3个是0day 漏洞. 3个 0day 已遭公开 ...
最新文章
- SIFT和SURF的替换算法——ORB (Oriented FAST and Rotated BRIEF 快速定向和旋转)
- 无需多个模型也能实现知识整合?港中文MMLab提出「烘焙」算法,全面提升ImageNet性能...
- pthread_testcancel和pthread_cancel函数的简单示例
- 更新日志 - fir.im「高级统计」功能上线
- TEEC_Context和TEEC_InitializeContext介绍
- 程序组件通信方案集锦
- BZOJ 1084: [SCOI2005]最大子矩阵【DP】
- 王峰:Hadoop生态技术在阿里全网商品搜索实战
- app图标圆角角度_教你如何绘制风格统一的APP界面图标
- gluon_带有Gluon Ignite和Dagger的JavaFX中的依赖注入
- eclipse手动添加SVN插件
- 7.13. parallel - build and execute shell command lines from standard input in parallel
- css控制div等比高度
- 证券基金行业IT运维“远景”如何应对?
- 使用百度API实现语音识别——in python
- 机器学习--k均值聚类(K-means)
- js事件(事件冒泡与事件捕获)
- 《现代操作系统(中文第三版)》课后习题——第六章 死锁
- Amazon Alexa Smart Home Skill 增加订阅事件
- 机器人系统常用仿真软件工具介绍、效果与评价指标(2018年更新)