首页 > 清静研究 > 清静转达 > 清静通告

西门子多款产品清静误差清静通告

宣布时间 2019-08-16

? 误差编号和级别

CVE编号：CVE-2019-10942，危险级别：高危，CVSS分值：厂商自评：8.6，官方未评定
CVE编号：CVE-2019-6568，危险级别：高危，CVSS分值：7.5

? 影响版本

受影响的版本

CVE-2019-10942

SCALANCE X-200: All versions
SCALANCE X-200IRT: All versions
SCALANCE X-200RNA: All versions

CVE-2019-6568

SINAMICS GH150 V4.7 (Control Unit):All versions

SINAMICS GH150 V4.8 (Control Unit):All versions < V4.8 SP2 HF6
SINAMICS GL150 V4.7 (Control Unit):All versions
SINAMICS GL150 V4.8 (Control Unit):All versions < V4.8 SP2 HF7
SINAMICS GM150 V4.7 (Control Unit):All versions
SINAMICS GM150 V4.8 (Control Unit):All versions < V4.8 SP2 HF9
SINAMICS SL150 V4.7 (Control Unit):All versions
SINAMICS SL150 V4.8 (Control Unit):All versions
SINAMICS SM120 V4.7 (Control Unit):All versions
SINAMICS SM120 V4.8 (Control Unit):All versions
SINAMICS SM150 V4.8 (Control Unit):All versions

? 误差概述

西门子宣布了高严重性产品误差预警，包括影响SCALANCE X工业交流机的拒绝服务（DoS）误差CVE-2019-10942和影响SINAMICS转换器Web服务器的拒绝服务（DoS）误差CVE-2019-6568。误差信息如下：

CVE-2019-10942

该误差允许未经身份验证的攻击者通过重复向Telnet服务发送大宗新闻包，导致装备进入DoS状态。研究职员体现攻击者通过向TCP 23端口发送大宗数据包来破损telnet服务，装备瓦解后会自动重启，这可能导致潜在的流程中止。攻击者使用该误差需要会见目的交流机的网络，并且只需要相识一些标准的telnet协议。研究职员已经确定了一些可能直接受到来自互联网攻击的装备，但该误差并禁止易使用，由于它可能有一个非确定性的复制办法被触发。

CVE-2019-6568

该误差允许具有对受影响系统的网络会见权限的攻击者在不需要身份验证或用户交互的情形下导致拒绝服务，导致重新启动Web服务器。

? 误差验证

暂无POC/EXP。

? 修复建议

CVE-2019-10942

现在西门子尚未针对该误差宣布任何补丁程序，相关用户可通过在受影响的装备上禁用Telnet服务（建议使用SSH）以及限制对TCP端口23的网络会见，来避免潜在攻击。

CVE-2019-6568

现在厂商已宣布升级补丁以修复误差，见参考链接。

? 参考链接

https://cert-portal.siemens.com/productcert/pdf/ssa-100232.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-530931.pdf

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

西门子多款产品清静误差清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线