| Produkt | JT Utilities: Wszystkie wersje przed v12.8.1.1 JTTK: Wszystkie wersje przed v10.8.1.1 |
| Numer CVE | CVE-2021-44449 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Biblioteka JTTK w produktach, których dotyczy problem, zawiera zapis poza granicami przydzielonej struktury podczas analizowania specjalnie spreparowanych plików JT. Może to umożliwić osobie atakującej wykonanie kodu w kontekście bieżącego procesu. |
| Numer CVE | CVE-2021-44450 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Biblioteka JTTK w produktach, których dotyczy problem, jest podatna na odczyt poza granice przydzielonego buforu podczas analizowania plików JT. Osoba atakująca może wykorzystać tę lukę, aby ujawnić informacje w kontekście bieżącego procesu. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-20 |
| Produkt | Teamcenter Active Workspace v4.3: wszystkie wersje przed v4.3.11 Teamcenter Active Workspace v5.0: wszystkie wersje wcześniejsze niż v5.0.10 Teamcenter Active Workspace v5.1: wszystkie wersje wcześniejsze niż v5.1.6 Teamcenter Active Workspace v5.2: Wszystkie wersje wcześniejsze niż v5.2.3 |
| Numer CVE | CVE-2021-41547 |
| Krytyczność | 6.8/10 |
| CVSS | AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H |
| Opis | Aplikacja zawiera niebezpieczny wzorzec rozpakowywania, który może prowadzić do ataku polegającego na przemierzaniu ścieżki zip. Może to umożliwić osobie atakującej wykonanie powłoki zdalnej z uprawnieniami administratora. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-18 |
| Produkt | Simcenter STAR-CCM+ Viewer: Wszystkie wersje przed 2021.3.1 |
| Numer CVE | CVE-2021-42024 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Aplikacja starview+.exe nie sprawdza poprawności danych dostarczonych przez użytkownika podczas analizowania plików scen. Może to spowodować zapis poza granicami za koniec przydzielonej struktury. Osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście bieżącego procesu. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-15 |
| Produkt | Siveillance Identity v1.5: Wszystkie wersje Siveillance Identity v1.6: Wszystkie wersje przed v1.6.284.0 |
| Numer CVE | CVE-2021-44522 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Opis | Zaatakowane aplikacje w niewystarczającym stopniu ograniczają dostęp do wewnętrznego systemu brokera komunikatów, co może umożliwić nieuwierzytelnionemu zdalnemu napastnikowi zapisanie się do dowolnych kolejek komunikatów. |
| Numer CVE | CVE-2021-44523 |
| Krytyczność | 7.3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
| Opis | Zaatakowane aplikacje w niewystarczającym stopniu ograniczają dostęp do wewnętrznej bazy danych źródeł aktywności, co może umożliwić nieuwierzytelnionej osobie atakującej zdalnie odczytywanie, modyfikowanie lub usuwanie wpisów źródeł aktywności. |
| Numer CVE | CVE-2021-44524 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| Opis | Zaatakowane aplikacje niewystarczająco ograniczają dostęp do wewnętrznej usługi uwierzytelniania użytkowników, co może umożliwić nieuwierzytelnionemu zdalnemu napastnikowi wykonanie kilku działań w imieniu prawidłowych kont użytkowników. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-14 |
| Produkt | SIMATIC ITC1500 V3: Wszystkie wersje przed v3.2.1.0 SIMATIC ITC1500 V3 PRO: Wszystkie wersje przed v3.2.1.0 SIMATIC ITC1900 V3: Wszystkie wersje przed v3.2.1.0 SIMATIC ITC1900 V3 PRO: Wszystkie wersje wcześniejsze niż 3.2.1.0 SIMATIC ITC2200 V3: Wszystkie wersje wcześniejsze niż 3.2.1.0 SIMATIC ITC2200 V3 PRO: Wszystkie wersje przed v3.2.1.0 |
| Numer CVE | CVE-2017-18922, CVE-2018-20019, CVE-2018-20748, CVE-2018-20749, CVE-2018-20750, CVE-2018-21247, CVE-2019-15681, CVE-2019-15690, CVE-2019-20788, CVE-2019-20839, CVE-2019-20840, CVE-2020-14396, CVE-2020-14397, CVE-2020-14398, CVE-2020-14401, CVE-2020-14402, CVE-2020-14403, CVE-2020-14404, CVE-2020-14405 |
| Krytyczność | 9.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Wiele luk LibVNC w produktach, których dotyczy problem, może w określonych warunkach umożliwić zdalne wykonanie kodu, ujawnienie informacji i ataki typu „odmowa usługi”. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-12 |
| Produkt | JT2Go: Wszystkie wersje przed v13.2.0.5 Teamcenter Visualization: wszystkie wersje przed v13.2.0.5 |
| Numer CVE | CVE-2021-44001 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Jeden z plików DLL powiązanych z tym produktem zawiera zapis poza granicami przydzielonej struktury podczas analizowania specjalnie spreparowanych plików PDF, co może umożliwić osobie atakującej wykonanie kodu zdalnego. |
| Numer CVE | CVE-2021-44002 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Jeden z plików DLL skojarzonych z tym produktem zawiera zapis poza granicami przydzielonej struktury podczas analizowania specjalnie spreparowanych plików JT, co może umożliwić osobie atakującej wykonanie zdalnego kodu. |
| Numer CVE | CVE-2021-44005 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Jeden z plików DLL skojarzonych z tym produktem zawiera zapis poza granicami przydzielonej struktury podczas analizowania specjalnie spreparowanych plików TIFF, które mogą umożliwić osobie atakującej wykonanie kodu zdalnego. |
| Numer CVE | CVE-2021-44006 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Jeden z plików DLL skojarzonych z tym produktem zawiera zapis poza granicami przydzielonej struktury podczas analizowania specjalnie spreparowanych plików TIFF, które mogą umożliwić osobie atakującej wykonanie kodu zdalnego. |
| Numer CVE | CVE-2021-44013 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Jeden z plików DLL skojarzonych z tym produktem zawiera zapis poza granicami przydzielonej struktury podczas analizowania specjalnie spreparowanych plików JT, co może umożliwić osobie atakującej wykonanie zdalnego kodu. |
| Numer CVE | CVE-2021-44014 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Jeden z plików DLL powiązanych z tym produktem zawiera usterkę typu use-after-free, która może zostać wyzwolona podczas analizowania specjalnie spreparowanych plików JT, co może umożliwić osobie atakującej wykonanie zdalnego kodu. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-10 |
| Produkt | SINUMERIK Edge: Wszystkie wersje przed 3.2 |
| Numer CVE | CVE-2021-42027 |
| Krytyczność | 7.4/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
| Opis | Oprogramowanie, którego dotyczy problem, nie weryfikuje prawidłowo certyfikatu serwera podczas inicjowania połączenia TLS. Może to umożliwić atakującemu sfałszowanie zaufanej jednostki poprzez ingerencję w ścieżkę komunikacji między klientem a zamierzonym serwerem. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-09 |
| Produkt | JT Utilities: Wszystkie wersje przed v13.0.3.0 JTTK: Wszystkie wersje przed v11.0.3.0 |
| Numer CVE | CVE-2021-44446 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Biblioteka JTTK w produktach, których dotyczy problem, zawiera zapis poza granicami za koniec przydzielonej struktury podczas analizowania specjalnie spreparowanych plików JT, co może umożliwić osobie atakującej wykonanie kodu w kontekście bieżącego procesu. |
| Numer CVE | CVE-2021-44447 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Biblioteka JTTK w produktach, których dotyczy problem, zawiera lukę typu use after free, która może zostać wyzwolona podczas analizowania specjalnie spreparowanych plików JT, które osoba atakująca może wykorzystać do wykonania kodu w kontekście bieżącego procesu. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-08 |
| Produkt | POWER METER SICAM Q100 (7KG9501-0AA01-0AA1, 7KG9501-0AA01-2AA1, 7KG9501-0AA31-0AA1, 7KG9501-0AA31-2AA1): Wszystkie wersje przed v2.41 |
| Numer CVE | CVE-2021-44165 |
| Krytyczność | 9.1/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| Opis | Zaawansowane oprogramowanie układowe zawiera lukę przepełnienia bufora w aplikacji internetowej, która może umożliwić zdalnej osobie atakującej z uprawnieniami inżyniera lub administratora wykonanie zdalnego wykonania kodu. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-07 |
Więcej :
· ICSA-21-131-03 : Siemens Linux-based Products (Update G)
· ICSA-21-315-07 : Siemens Nucleus RTOS-based APOGEE and TALON Products (Update A)
· ICSA-21-350-06 : Siemens Capital VSTAR
· ICSA-20-105-06 : Siemens SIMOTICS, Desigo, APOGEE, and TALON (Update B)
· ICSA-20-014-05 : Siemens TIA Portal (Update C)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny