首页 > 清静研究 > 清静转达 > 清静通告

西门子多个产品严重误差清静通告

宣布时间 2019-04-11

误差编号和级别

CVE编号：CVE-2018-3991，，，，危险级别：严重，，，，CVSS分值：厂商自评10，，，，官方未评定
CVE编号：CVE-2019-6579，，，，危险级别：严重，，，，CVSS分值：厂商自评10，，，，官方未评定

CVE编号：CVE-2018-5379，，，，危险级别：严重，，，，CVSS分值：厂商自评9.8，，，，官方未评定

影响版本

SIMATIC WinCC OA Version 3.14 < P025
SIMATIC WinCC OA Version 3.15 < P018
SIMATIC WinCC OA Version 3.16 < P007
拥有Web Office Portal的Spectrum Power 4均受影响
RUGGEDCOM ROX II version < V2.13.0

snapd 2.28 至2.37版本

误差概述

西门子（SIEMENS）官方宣布通告修复了其多款产品中差别水平的清静误差，，，，受影响产品包括SIMATIC WinCC OA、Spectrum Power、RUGGEDCOM RXO II等。。。。

SIMATIC WinCC OA 远程代码执行误差 – CVE-2018-3991

影响SIMATIC WinCC OA的误差CVE-2018-3991是由于22347/TCP端口的会见控制不当而爆发，，，，乐成使用该误差可能会导致堆溢出，，，，从而引发潜在的远程代码执行。。。。

Spectrum Power 4.7下令注入误差 – CVE-2019-6579

在端口80 / TCP或443 / TCP上具有网络会见权限的攻击者可以使用治理权限执行系统下令。。。。

RUGGEDCOM ROX II – CVE-2018-5379

在处置惩罚某些形式的UPDATE新闻（包括集群列表和/或未知属性）时，，，，Quagga BGP守护程序（bgpd）的刊行版本可以双重释放内存。。。。乐成的攻击可能导致拒绝效劳或可能允许攻击者执行恣意代码。。。。

误差验证

暂无POC、EXP。。。。

修复建议

西门子官方已经宣布了相关补丁修复了上述误差，，，，更多信息请参考：
https://cert-portal.siemens.com/productcert/pdf/ssa-844562.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-324467.pdf

https://cert-portal.siemens.com/productcert/pdf/ssa-451142.pdf

参考链接

https://new.siemens.com/global/en/products/services/cert.html#SecurityPublications

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

西门子多个产品严重误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线