首页 > 清静研究 > 清静转达 > 清静通告

西门子多款产品清静误差清静通告

宣布时间 2019-08-16

? 误差编号和级别

CVE编号：CVE-2019-10942，，，危险级别：高危，，，CVSS分值：厂商自评：8.6，，，官方未评定
CVE编号：CVE-2019-6568，，，危险级别：高危，，，CVSS分值：7.5

? 影响版本

受影响的版本

CVE-2019-10942

SCALANCE X-200: All versions
SCALANCE X-200IRT: All versions
SCALANCE X-200RNA: All versions

CVE-2019-6568

SINAMICS GH150 V4.7 (Control Unit):All versions

SINAMICS GH150 V4.8 (Control Unit):All versions < V4.8 SP2 HF6
SINAMICS GL150 V4.7 (Control Unit):All versions
SINAMICS GL150 V4.8 (Control Unit):All versions < V4.8 SP2 HF7
SINAMICS GM150 V4.7 (Control Unit):All versions
SINAMICS GM150 V4.8 (Control Unit):All versions < V4.8 SP2 HF9
SINAMICS SL150 V4.7 (Control Unit):All versions
SINAMICS SL150 V4.8 (Control Unit):All versions
SINAMICS SM120 V4.7 (Control Unit):All versions
SINAMICS SM120 V4.8 (Control Unit):All versions
SINAMICS SM150 V4.8 (Control Unit):All versions

? 误差概述

西门子宣布了高严重性产品误差预警，，，包括影响SCALANCE X工业交流机的拒绝效劳（DoS）误差CVE-2019-10942和影响SINAMICS转换器Web效劳器的拒绝效劳（DoS）误差CVE-2019-6568。。。。。。。误差信息如下：

CVE-2019-10942

该误差允许未经身份验证的攻击者通过重复向Telnet效劳发送大宗新闻包，，，导致装备进入DoS状态。。。。。。。研究职员体现攻击者通过向TCP 23端口发送大宗数据包来破损telnet效劳，，，装备瓦解后会自动重启，，，这可能导致潜在的流程中止。。。。。。。攻击者使用该误差需要会见目的交流机的网络，，，并且只需要相识一些标准的telnet协议。。。。。。。研究职员已经确定了一些可能直接受到来自互联网攻击的装备，，，但该误差并禁止易使用，，，由于它可能有一个非确定性的复制办法被触发。。。。。。。

CVE-2019-6568

该误差允许具有对受影响系统的网络会见权限的攻击者在不需要身份验证或用户交互的情形下导致拒绝效劳，，，导致重新启动Web效劳器。。。。。。。

? 误差验证

暂无POC/EXP。。。。。。。

? 修复建议

CVE-2019-10942

现在西门子尚未针对该误差宣布任何补丁程序，，，相关用户可通过在受影响的装备上禁用Telnet效劳（建议使用SSH）以及限制对TCP端口23的网络会见，，，来避免潜在攻击。。。。。。。

CVE-2019-6568

现在厂商已宣布升级补丁以修复误差，，，见参考链接。。。。。。。

? 参考链接

https://cert-portal.siemens.com/productcert/pdf/ssa-100232.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-530931.pdf

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

西门子多款产品清静误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线