Connor McGovern Jersey  Siemens залатала критические баги в своих продуктах | FOREXLUKS

Siemens залатала критические баги в своих продуктах

 
 


Компания Siemens представила майский комплект обновлений безопасности, в который вошли девять новых патчей и четыре доработанные версии ранее выпущенных заплаток для продуктов вендора. Наиболее серьезные уязвимости закрыты в прошивке коммутаторов SCALANCE, ПО логических контроллеров LOGO! и приложении для линейки оборудования SIMATIC. Исправленные баги могли стать причиной выполнения стороннего кода на устройстве и вызвать отказ в обслуживании.
Пять уязвимостей закрыто патчем для прошивки промышленной точки доступа SCALANCE W1750D. Один из багов оценивается ИБ-специалистами как критический и способен привести к перехвату управления устройством и утечке конфиденциальных сведений. Как отмечает производитель, CVE-2018-7084 позволяет не прошедшему авторизацию злоумышленнику с доступом к веб-интерфейсу устройства выполнять произвольные системные команды в рамках ОС без взаимодействия с пользователем. Киберпреступник может совершать операции с файлами, просматривать настройки коммутатора и перезагружать его.
Apple выпустила обновления почти для всей линейки продуктов
15 мая 2019 , 16:41
Microsoft пропатчила атакуемую уязвимость 0-day
15 мая 2019 , 08:04
Наиболее опасный баг в логическом модуле LOGO!8 BM, применяемом для автоматизации технологических процессов, получил от экспертов оценку 9,4 балла по шкале CVSS v3.0. Уязвимость CVE-2019-10919 допускает изменение конфигурации устройства и утечку хранящихся на нем файлов. Для проведения атаки злоумышленнику не требуется авторизация в системе, а только доступ к TCP-порту 10005.
Еще три уязвимости найдены в различных версиях линеек PCS7 и WinCC промышленного оборудования SIMATIC. Наибольшую опасность представляет баг CVE-2019-10916, оцененный в 9,1 балла по шкале CVSS v3.0. По информации производителя, киберпреступник с доступом к файлам проекта может выполнять произвольные системные команды с правами локального сервера баз данных.
Вендор также включил в пакет обновлений патчи, связанные с DRM-приложением WibuKey (Digital Rights Management, технические средства защиты авторских прав). Апдейт закрывает три уязвимости, самая серьезная из которых получила максимальный рейтинг опасности — 10 баллов по шкале CVSS v3.0. Используя CVE-2018-3991, злоумышленник может отправить вредоносный пакет на TCP-порт 22347, что приведет к переполнению динамической памяти и даст атакующему возможность выполнить произвольный код.
Ранее считалось, что проблемы в менеджере лицензий затрагивают лишь устройства для мониторинга электросетей Siemens SICAM 230, однако позже выяснилось, что этот же модуль применяется в судовых системах SISHIP. В связи с этим вендор повторно включил этот апдейт в комплект патчей.

Добавить комментарий

Will Harris Jersey