西门子修复因使用第三方组件引起的90多个漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
西门子发布15个新的安全公告,通知客户称其产品受100多个漏洞影响,其中90多个缺陷是因为使用第三方组件而引发的。
其中3份安全公告的整体安全评级为“严重”,8份为“高危”。这些漏洞和 Mendix、COMOS、Simcenter、SIMOTICS、SINEC、RUGGEDCOM 和SINUMERIK 产品有关。
和第三方组件相关的5份安全公告
西门子在2022年3月补丁星期二发布的安全公告中,5份和影响第三方组件的漏洞有关。其中一份安全公告描述的是71个安全漏洞对SINEC INS 的影响,这些漏洞影响的组件包括Node.js、cURL、SQLite、CivetWeb 和 BIND等。另外一份报告说明了影响COMOS,具体而言是该产品使用的 Drawings SDK的十几个漏洞。该SDK由Open Design Alliance 提供,受多个弱点影响,通过特殊构造的文件即可被触发,造成信息泄露和代码执行后果。
其它三分安全公告说明的是和RUGGEDCOM ROX和ROS设备相关的第三方组件漏洞。受影响组件包括NSS和ISC DHCP。这些漏洞如遭利用可导致代码执行、拒绝服务或敏感信息泄露。
一些漏洞仅发布缓解措施无补丁
虽然西门子为其中很多漏洞发布补丁,但对于某些缺陷仅发布了缓解措施。
西门子电气公司在本月补丁星期二中仅发布了3份新的安全公告,包括影响APC Smart-UPS 设备的三个严重漏洞。这些严重漏洞被称为 “TLStorm”,它们可被用于远程黑入并损坏受影响的UPS 设备。
代码卫士试用地址:https://codesafe.qianxin.com/
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
严重的“Access:7”供应链漏洞影响100多家厂商150多款联网设备等产品
堪比“脏牛”!“脏管道” 漏洞可获得Linux 所有主流发行版本的root权限
漏洞Dirty COW:影响Linux系统以及安卓设备
第三方支付处理厂商软件有漏洞,日本美容零售商Acro 10万支付卡信息遭攻击
Linux 内核 cgroups 新漏洞可导致攻击者逃逸容器
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
Apache Cassandra 开源数据库软件修复高危RCE漏洞
2021年软件供应链攻击数量激增300%+
热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管
详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 严重漏洞可导致供应链攻击
Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持
Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱
美国商务部发布软件物料清单 (SBOM) 的最小元素(上)
美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
美国商务部发布软件物料清单 (SBOM) 的最小元素(下)
NIST 发布关于使用“行政令-关键软件”的安全措施指南
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件
SolarWinds 攻击者再次发动供应链攻击
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
软件供应链安全现状分析与对策建议
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
原文链接
https://www.securityweek.com/siemens-addresses-over-90-vulnerabilities-affecting-third-party-components
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
西门子修复因使用第三方组件引起的90多个漏洞相关推荐
- 导入第三方组件_大型 web 应用公共组件架构是如何来的?
来源:腾讯AlloyTeam https://mp.weixin.qq.com/s/gVUJRF_nLHOT_iXDXQ8F-w 腾讯文档公共组件历史包袱 1. 架构问题--开发层面 腾讯文档管理的公 ...
- react第三方组件库_如何自定义您的第三方React组件
react第三方组件库 by Jacob Goh 雅各布·高 如何自定义您的第三方React组件 (How to customize your third party React components ...
- 第三方组件曝多个严重漏洞,飞利浦 Vue PACS 医学成像系统受影响
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 本周二,美国网络安全和基础设施安全局 (CISA) 发布安全公告称,飞利浦 Vue 医疗产品受15个漏洞影响. CISA 指出,其中很多缺 ...
- iOS 项目中用到的一些开源库和第三方组件
iOS 项目中用到的一些 iOS 开源库和第三方组件 分享一下我目前所在公司 iOS 项目中用到的一些 iOS 开源库和第三方组件, 感谢开源, 减少了我们的劳动力, 节约了我们大量的时间, 让我们有 ...
- React Native 项目常用第三方组件汇总
React Native 项目常用第三方组件汇总 https://www.jianshu.com/p/d9cd9a868764?utm_campaign=maleskine&utm_conte ...
- android多线程下载原理,安卓多线程断点续传下载功能(靠谱第三方组件,原理demo)...
一,原生的DownloadManager 从Android 2.3(API level 9)开始,Android以Service的方式提供了全局的DownloadManager来系统级地优化处理长时间 ...
- 如何在Eclipse中查看Android源码或者第三方组件包源码
文章出处:http://blog.csdn.net/cjjky/article/details/6535426 在学习过程中如果经常阅读源码,理解程度会比较深,学习效率也会比较高,那么如何方便快捷的阅 ...
- Delphi第三方组件安装DCU.PAS.DPK.BPL.ActiveX控件
不是由BORLAND提供的组件叫第三方组件: 安装方法: 南山古桃(nsgtao)首先提醒一下:最好把要安装的文件先复制到Delphi安装目录的Lib目录下再执行下面的操作! 就目前常见的各种形式的组 ...
- Android 项目中常用到的第三方组件
项目中常用到的第三方组件 1 社会化分享 ShareSDK-Core-2.5.9.jar ShareSDK-QQ-2.5.9.jar ShareSDK-QZone-2.5.9.jar ShareSDK ...
最新文章
- UI培训分享:如何成为一名优秀的UI设计师
- .NET零基础入门之01:开篇及CSharp程序、解决方案的结构
- 【django轻量级框架】使用支付宝支付接口(沙箱)
- HDU 6112黑色星期五 蓝桥基拉姆森公式
- 健康证(公共卫生类)
- Linux下Modules的概念及使用详解
- lvs mysql 端口_LVS配置及多端口服务配置
- springboot 自定义注解开发
- idea database 添加字段不更新_如何借助IDEA数据库管理工具可视化使用TDengine?
- LINQ 花3个礼拜的时间来弄清楚
- 杂项-协议-HTTP:GET/POST/PUT/DELETE/INPUT/TRACE/OPTIONS/HEAD方法
- java从Swagger Api接口获取数据工具类
- python数字右对齐_python用format把float、int等数字字符串化设置左对齐右对齐居中对齐,宽度,保留几位...
- 信息系统管理师备考指南
- 【神经网络】权重衰减(weight-decay)
- python输入名字配对情侣网名_情侣名字配对网名可爱
- Android 设置全屏样式主题的总结
- 美剧之《黑客军团第四季》(Mr robot)第12集摘要
- 豆瓣电影TOP250和书籍TOP250爬虫
- python做积分_利用python求积分的实例