ProduktSCALANCE X-200 switch family (incl. SIPLUS NET variants): wszystkie wersje
SCALANCE X-200IRT switch family (incl. SIPLUS NET variants): wszystkie wersje
SCALANCE X-300 switch family (incl. X408 and SIPLUS NET variants): wszystkie wersje <  v4.1.0
Numer CVECVE-2020-15799
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisTa luka może umożliwić nieuwierzytelnionej osobie atakującej ponowne uruchomienie urządzenia za pośrednictwem sieci przy użyciu specjalnych adresów URL ze zintegrowanego serwera internetowego produktów, których dotyczy luka.
AktualizacjaTAK
  
Numer CVECVE-2020-15800
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisSerwer sieciowy urządzeń, których dotyczy luka, zawiera lukę, która może prowadzić do przepełnienia sterty. Osoba atakująca może spowodować ten stan na serwerze WWW, wysyłając specjalnie spreparowane żądania. Może to tymczasowo zatrzymać serwer WWW.
AktualizacjaTAK
  
Numer CVECVE-2020-25226
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisSerwer sieci Web urządzeń, których dotyczy luka, zawiera lukę, która może prowadzić do przepełnienia buforu. Osoba atakująca może spowodować ten stan na serwerze WWW, wysyłając specjalnie spreparowane żądanie. Serwer WWW mógł się zatrzymać i nie odzyskać
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-21-012-05
ProduktSolid Edge: wersje < SE2021MP2
Numer CVECVE-2020-28381
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisAplikacje, których dotyczy problem, nie sprawdzają poprawności danych dostarczonych przez użytkownika podczas analizowania plików PAR. Może to spowodować zapis poza zakresem do niezainicjowanej pamięci. Osoba atakująca może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu.
AktualizacjaTAK
  
Numer CVECVE-2020-28382
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisAplikacje, których dotyczy problem, nie sprawdzają poprawności danych dostarczonych przez użytkownika podczas analizowania plików PAR. Może to spowodować zapis poza zakresem poza koniec przydzielonej struktury. Osoba atakująca może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu.
AktualizacjaTAK
  
Numer CVECVE-2020-28383
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisAplikacje, których dotyczy problem, nie sprawdzają poprawności danych dostarczonych przez użytkownika podczas analizowania plików PAR. Może to skutkować zapisem poza zakresem poza lokalizacją pamięci adresu obrazu tylko do odczytu. Osoba atakująca może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu.
AktualizacjaTAK
  
Numer CVECVE-2020-28384
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis 
AktualizacjaTAK
  
Numer CVEAplikacje, których dotyczy problem, nie sprawdzają poprawności danych dostarczonych przez użytkownika podczas analizowania plików PAR. Może to doprowadzić do przepełnienia bufora opartego na stosie. Osoba atakująca może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisAplikacje, których dotyczy problem, nie sprawdzają poprawności danych dostarczonych przez użytkownika podczas analizowania plików DFT. Może to spowodować zapis poza zakresem poza koniec przydzielonej struktury. Osoba atakująca może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu.
AktualizacjaTAK
  
Numer CVECVE-2020-26989
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisAplikacje, których dotyczy problem, nie sprawdzają poprawności danych dostarczonych przez użytkownika podczas analizowania plików PAR. Może to spowodować przepełnienie bufora opartego na stosie. Osoba atakująca może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu.
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-21-012-04
ProduktSCALANCE X-200 switch family (incl. SIPLUS NET variants): wszystkie wersje
SCALANCE X-200IRT switch family (incl. SIPLUS NET variants): wszystkie wersje
SCALANCE X-300 switch family (incl. X408 and SIPLUS NET variants): wersje < v4.1.0
Numer CVECVE-2020-28391
Krytyczność9.1/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
OpisUrządzenia tworzą nowy unikalny klucz po przywróceniu ustawień fabrycznych, z wyjątkiem sytuacji, gdy są używane z wtyczką C-PLUG. W przypadku używania z wtyczką C-PLUG urządzenia używają zakodowanego na stałe klucza prywatnego RSA dostarczonego z obrazem oprogramowania układowego. Osoba atakująca może wykorzystać tę lukę, aby stworzyć sytuację pośrednika i odszyfrować przechwycony wcześniej ruch.
AktualizacjaTAK
  
Numer CVECVE-2020-28395
Krytyczność9.1/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
OpisUrządzenia nie tworzą nowego unikalnego klucza prywatnego po przywróceniu ustawień fabrycznych. Osoba atakująca może wykorzystać tę lukę, aby stworzyć sytuację pośrednika i odszyfrować przechwycony wcześniej ruch.
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-21-012-02

Inne aktualizacje dotyczące wcześniejszych CVE:

ICSA-20-196-07 : Siemens Opcenter Execution Core (Update B)

ICSA-20-161-04 : Siemens SIMATIC, SINAMICS, SINEC, SINEMA, SINUMERIK (Update E)

ICSA-20-105-06 : Siemens SIMOTICS, Desigo, APOGEE, and TALON (Update A)

ICSA-20-105-07 : Siemens SCALANCE & SIMATIC (Update C)

ICSA-20-042-06 : Siemens SIMATIC PCS 7, SIMATIC WinCC, and SIMATIC NET PC (Update F)

ICSA-20-014-05 : Siemens TIA Portal (Update B)

ICSA-19-283-02 : Siemens PROFINET Devices (Update I)