聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
2022年,西门子和施耐德电气公司发布新一轮安全公告,共计修复了40个漏洞。
西门子
西门子发布五份安全公告,共修复14个漏洞。从CVSS评分来看,最重要的安全公告说明的是影响 SICAM A8000 设备的两个缺陷。其中一个缺陷是“严重”等级,和使用硬编码默认凭据的未记录的调试端口有关,可使攻击者访问设备上的管理员调试 shell。第二个漏洞是“中危”级别,可使未认证攻击者访问日志问及那和诊断数据。
西门子还在另外一份安全公告中说明了影响 COMOS 工厂工称软件的两个高危和两个中危漏洞。攻击者可利用这些漏洞执行任意代码或命令。
西门子还发布了另外一份和 Nucleus RTOS 漏洞(被统称为 NUCLEUS:13)相关的安全公告,解决了这些漏洞对 PLUSCONTROL 设备的影响。
余下安全公告说明的是位于 SIPROTEC 5 产品中的一个中危信息泄露漏洞和一个可被用于在 SICAM PQ Analyzer 上实现持久性和DoS 条件的低危漏洞。
西门子为上述所有漏洞发布了补丁和/或缓解措施。
施耐德电气
施耐德电气公司共发布七份安全公告,解决了26个漏洞。
其中一份安全公告说明的是位于 Easergy P5 中压防护中继中的两个高危漏洞,可导致攻击者破坏或完全控制设备,“导致电力网络防护丢失”。
该公司发布的另一份公告说明了对 Easergy P3 中继具有类似影响的漏洞。
另外一份公告解决了位于 EcoStruxure Power Monitoring Expert 产品中的两个高危和两个中危漏洞。它们可被用于获取信息或破坏系统。
施耐德电气公司还通知客户称 ConneXium Tofino 防火墙产品受六个高危和中危漏洞影响。这些漏洞可导致服务中断或配置更改,从而允许恶意网络流量。
其它安全公告说明的是位于第三方 Codesys 组件中的10个漏洞、位于 Modicon M340 控制器中的 DoS 和 CSRF 缺陷以及位于Easergy T300 RTU 中可导致代码执行或 DoS 条件的一个弱点。
施耐德电气公司也为这些产品中的漏洞发布补丁和/或缓解措施。
推荐阅读
很多工控产品都在用的 CODESYS 软件中被曝10个严重漏洞
原文链接
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-40-vulnerabilities
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
