西门子修复因使用第三方组件引起的90多个漏洞

最新推荐文章于 2024-04-28 13:16:41 发布
最新推荐文章于 2024-04-28 13:16:41 发布
阅读量279 收藏
点赞数
文章标签: linux 安全 java 信息安全 c++
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247510855&idx=1&sn=0dada11bb41d898268db5ad0cb471f91&chksm=ea949a2ddde3133b08eb46032dead81cb9d3a1a0c23184bbf7a4feef3865e49a14a10cb49c54&scene=126&&sessionid=0
版权

8676498efe645d5e199cea24e6e0a0f4.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

509d65785ede98efee4c64bff44e8390.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

bf794e4c31006922ffcda5bfc02d08da.png

西门子发布15个新的安全公告,通知客户称其产品受100多个漏洞影响,其中90多个缺陷是因为使用第三方组件而引发的。

其中3份安全公告的整体安全评级为“严重”,8份为“高危”。这些漏洞和 Mendix、COMOS、Simcenter、SIMOTICS、SINEC、RUGGEDCOM 和SINUMERIK 产品有关。

1b80fa5e7cbdddf3d6df9420474b7e80.png

和第三方组件相关的5份安全公告

西门子在2022年3月补丁星期二发布的安全公告中,5份和影响第三方组件的漏洞有关。其中一份安全公告描述的是71个安全漏洞对SINEC INS 的影响,这些漏洞影响的组件包括Node.js、cURL、SQLite、CivetWeb 和 BIND等。另外一份报告说明了影响COMOS,具体而言是该产品使用的 Drawings SDK的十几个漏洞。该SDK由Open Design Alliance 提供,受多个弱点影响,通过特殊构造的文件即可被触发,造成信息泄露和代码执行后果。

其它三分安全公告说明的是和RUGGEDCOM ROX和ROS设备相关的第三方组件漏洞。受影响组件包括NSS和ISC DHCP。这些漏洞如遭利用可导致代码执行、拒绝服务或敏感信息泄露。

d454badcb6f58662a34832f000194f9a.png

一些漏洞仅发布缓解措施无补丁

虽然西门子为其中很多漏洞发布补丁,但对于某些缺陷仅发布了缓解措施。

西门子电气公司在本月补丁星期二中仅发布了3份新的安全公告,包括影响APC Smart-UPS 设备的三个严重漏洞。这些严重漏洞被称为 “TLStorm”,它们可被用于远程黑入并损坏受影响的UPS 设备。

代码卫士试用地址:https://codesafe.qianxin.com/

开源卫士试用地址:https://oss.qianxin.com

1af8b3d469b681b1ab4470961311920d.png

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

严重的“Access:7”供应链漏洞影响100多家厂商150多款联网设备等产品

堪比“脏牛”!“脏管道” 漏洞可获得Linux 所有主流发行版本的root权限

漏洞Dirty COW:影响Linux系统以及安卓设备

第三方支付处理厂商软件有漏洞,日本美容零售商Acro 10万支付卡信息遭攻击

Linux 内核 cgroups 新漏洞可导致攻击者逃逸容器

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

Apache Cassandra 开源数据库软件修复高危RCE漏洞

2021年软件供应链攻击数量激增300%+

热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管

详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)

SAP 严重漏洞可导致供应链攻击

Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持

Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱

美国商务部发布软件物料清单 (SBOM) 的最小元素(上)

美国商务部发布软件物料清单 (SBOM) 的最小元素(中)

美国商务部发布软件物料清单 (SBOM) 的最小元素(下)

NIST 发布关于使用“行政令-关键软件”的安全措施指南

NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件

SolarWinds 攻击者再次发动供应链攻击

美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了

软件供应链安全现状分析与对策建议

“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码

GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥

因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露

彪马PUMA源代码被盗,称客户数据不受影响

原文链接

https://www.securityweek.com/siemens-addresses-over-90-vulnerabilities-affecting-third-party-components

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

e629d92baf800cc278d6d699d96b422b.png

c654a1f9af57bf4348ffb93821bf3f68.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   4ff5ae6ce7127c67c88be153f38000e3.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全之易受攻击和过时的组件漏洞详解及预防
路多辛的所思所想
02-06 729
易受攻击和过时的组件(Vulnerable and Outdated Components)类漏洞看名字就很容易理解,就是使用了具有已知漏洞组件或者已经过时的组件。由于过时的组件不再被维护,会被发现越来越多的安全漏洞但是漏洞也不会再被修复,就会带来极大的安全隐患。当然,这里的组件不是狭义的组件,可以指代码里面引用的三方库、应用程序、操作系统、数据库、服务器、Linux 内核等等。在被暴出漏洞的情况下或有新版本的情况下,没有及时修复或升级系统、框架或依赖库的版本。不清楚使用组件和依赖的组件的版本。
西门子工业网络管理系统中存在15个漏洞,可导致RCE
smellycat000的专栏
06-21 524
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员披露了位于西门子 SINEC 网络管理系统 (NMS) 中的15个漏洞详情,其中一些漏洞可被攻击者组合利用,最终在受影响系统上实现远程代码执行。工业安全公司 Claroty 发布报告指出,“如果这些漏洞遭利用,可对网络上的西门子设备带来诸多风险,包括拒绝服务攻击、凭据泄露和在某些情况下的远程代码执行。”这些...
常见web漏洞及防范(转)
热门推荐
hackerie的博客
01-22 1万+
单个漏洞,需要进行排查与整改,借着别人的智慧,做一个简单的收集。最好能够将常见漏洞,不限于web类的,进行一个统一的整理。这是今年的任务。 进行漏洞的工具的收集,为未来的工作做好基础。。。 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的S...
第三方组件安全性:第三方组件或软件可能包含漏洞或恶意代码,这对整个系统安全构成威胁
图幻未来的博客
01-24 398
总之在使用过程中,我们要充分认识到第三方组件存在的安全隐患,并加强管理和技术手段的运用来确保其安全稳定地运作于我们的信息化体系中。只有这样我们才能在享受技术创新给我们所带来的便捷的同时也保证自己的数据安全和企业利益不受侵害。
安全第三方组件漏洞如何做前置规避?
m0_70655343的博客
07-14 455
要评估风险与合规性,需要针对业务挑战、需求和目标评估现有的安全治理框架——包括数据隐私、第三方风险和IT法规合规需求及差距。安全风险量化、安全开发、法规和标准合规性以及安全教育和培训是关键。第三方组件缺陷又被归结为供应链安全问题,供应链安全需要多方面考虑。没有万能方案,但是组织可以用分层防御的组合来保护供应链。提前为入侵、关闭或中断做好准备,并拥有稳健的事件响应计划很重要。通过实践、测试和易执行的响应计划和补救措施,防止损失。...
SIEMENS-西门子PLC如何通过S7-1200与第三方设备实现自由口通信?.txt
01-28
SIEMENS-西门子PLC如何通过S7-1200与第三方设备实现自由口通信?
西门子PLC与第三方MODBUS TCP通信应用案例
12-29
—————————————————————————————————————— 西门子PLC与第三方MODBUS TCP通信应用案例——————————————————————————————————————
西门子S120驱动第三方电机
04-26
西门子S120驱动第三方电机,使用过程中为了节约成本,很多时候会使用第三方电机,就涉及到电机的识别调试
西门子1500PLC与第三方Modbus Tcp网关通信实例.pdf
12-02
西门子1500PLC与第三方Modbus Tcp网关通信实例
多个西门子1200PLC ModbusTCP通讯实例
10-30
多个西门子1200PLC ModbusTCP通讯实例,西门子PLC通讯实例
mosec-gradle-plugin:用于检测gradle项目的第三方依赖组件是否存在安全漏洞
02-05
MOSEC-GRADLE-PLUGIN 用于检测gradle项目的第三方依赖组件是否存在安全漏洞。 该项目灵感来自 。 关于我们 网址: : 微信: 版本要求 Gradle> = 3.0 安装 向顶层build.gradle中增加如下配置 // file: build.gradle buildscript { repositories { maven { url " https://raw.github.com/momosecurity/mosec-gradle-plugin/master/mvn-repo/ " } } dependencies
软件系统的安全漏洞
星瀚
04-17 1073
以上仅是一些常见的安全漏洞,实际上还有很多其他类型的漏洞。缓冲区溢出漏洞:如果程序没有正确限制输入数据的大小,攻击者可能会在缓冲区中注入大量数据,从而导致缓冲区溢出,进而执行恶意代码。跨站点请求伪造(CSRF):攻击者在用户登录Web应用程序时盗取用户的身份验证令牌,并在后台发送伪造的请求。不安全的存储:程序可能将敏感信息存储在不安全的位置,如明文文本文件、未加密的数据库、未加密的Cookie等。SQL注入攻击:攻击者利用Web应用程序的漏洞,将恶意SQL语句注入到应用程序的数据库中,从而获得敏感信息。
Juniper Networks 修复多个严重的第三方组件漏洞
smellycat000的专栏
04-17 789
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络、云和网络安全解决方案提供商 Juniper Networks 上周发布安全公告,详述了产品中出现的数十个漏洞,其中包括 Junos OS 和 STRM 第三方组件中的多个严重漏洞。其中一份安全公告是和 stream 相关的第三方 XML 解析器库 Expat 中的多个严重漏洞。该安全公告详述了最新 Junos OS 版本中存在的15个 Ex...
第三方组件多个严重漏洞,飞利浦 Vue PACS 医学成像系统受影响
smellycat000的专栏
07-09 641
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士本周二,美国网络安全和基础设施安全局 (CISA) 发布安全公告称,飞利浦 Vue 医疗产品受15个漏洞影响。CISA 指出,其中...
Juniper Networks修复200多个第三方组件漏洞
smellycat000的专栏
07-19 224
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士上周,Juniper Networks 发布了21份安全公告,通知客户修复影响其产品的200多个漏洞。这些漏洞影响 Junos OS(包括SPX、EX、PTX、QFX 和 MX 系列设备上的 Junos OS)、Junos Space、Contrail Networking和 Northstar Controller产品...
敲重点!零基础入门网络安全,这篇文章你一定要看【熬夜3天,万字长文】
m0_74131821的博客
03-24 679
作为一个网络安全技术博主,我想和大家说几句心里话
Linux|Awk 变量、数字表达式和赋值运算符
冷冻工厂
04-25 586
同样,数字 22 被赋予了变量 port_no,还可以把一个变量的值赋给另一个变量,就像最后一个例子中,将变量 computer_name 的值赋给了变量 server。例如,假设有一个名为 names.txt 的文件,该文件列出了一个应用程序的用户的名单,包括他们的名、姓和性别。要理解在 Awk 中数值表达式的运用,来看下面的例子,这个例子中用到了一个名为 domains.txt 的文件,这个文件列出了 Tecmint 所持有的所有域名。接下来,将探讨 Awk 的最后一个特性——赋值运算符。
linux 系统文件目录颜色及特殊权限对应的颜色
持 开源思想,撰 必胜所学,望 勤学者,无难处
04-25 293
特殊权限Set User ID,占属主的x位,仅对可执行的程序有意义,当其他用户执行带SUID标记的程序是,所有用户具有此程序的属主的身份和相应权限,例如:其user在此(若属主为root)创建文件或目录,属主依然是root,而不是user。特殊权限Set Group ID,占属组的x位,对可执行的程序和目录有效,例如:其user2在此目录(若属组为user1)创建文件或目录,属组依然是user1,而不是user2。可以用字符表示文件的类型(权限中的首字符)学识浅薄,有错还望纠正!那蓝色背景的又是什么?
Linux:浏览器访问网站的基本流程(优先级从先到后)
最新发布
fox_kang的博客
04-28 647
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
西门子1500plc与第三方tcp通讯
05-14
这些参数需要与第三方设备相对应,并确保它们在同一个网络中。 接下来,需要编写PLC程序来实现数据传输和接收。在程序中,需要使用一些函数块和指令来处理TCP/IP通信,例如SFB52和SFC14等。使用这些函数块和指令,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值