公開日:2023/04/12 最終更新日:2024/08/14

JVNVU#94715153
Siemens製品に対するアップデート(2023年4月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-116924

  • ローカルの第三者による任意のコード実行
SSA-322980
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
SSA-472454
  • 遠隔の第三者による任意のコード実行
SSA-479249
  • 隣接ネットワーク上の第三者による通信中データの窃取や改ざん
SSA-511182
  • ローカルの第三者による通信中データの窃取や改ざん
SSA-558014
  • サードパーティーコンポーネントの複数の脆弱性による、様々な影響(詳細は、開発者の提供する「SSA-558014」を参照)
SSA-566905
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
SSA-572164
  • ローカルの第三者による任意のコード実行、情報漏えい
SSA-629917
  • ローカルの第三者によるコード実行
SSA-632164
  • 遠隔の第三者による機密情報の漏えい
SSA-642810
  • ローカルの第三者によるコード実行
SSA-691715
  • 低権限ユーザによる高権限でのファイル実行
SSA-699404
  • 遠隔の第三者による機密情報の漏えい
SSA-813746
  • 遠隔の第三者によるメモリ破損
  • ヒープ・オーバーフロー攻撃

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-116924: Path Traversal Vulnerability in TIA Portal
SSA-322980: Denial of Service Vulnerability in SIPROTEC 5 Devices
SSA-472454: Command Injection Vulnerability in CPCI85 Firmware of SICAM A8000 Devices
SSA-479249: Weak Encryption Vulnerability in SCALANCE X-200IRT Devices
SSA-511182: Use of Static TLS Certificate Known Hard Coded Private Keys in Adaptec Maxview Application
SSA-558014: Third-Party Component Vulnerabilities in SCALANCE XCM332 before V2.2
SSA-566905: Multiple Denial of Service Vulnerabilities in the Webserver of Industrial Products
SSA-572164: Luxion KeyShot Vulnerability in Solid Edge
SSA-629917: Datalogics File Parsing Vulnerability in Teamcenter Visualization and JT2Go
SSA-632164: External Entity Injection Vulnerability in Polarion ALM
SSA-642810: JT File Parsing Vulnerability in JT Open and JT Utilities
SSA-691715: Vulnerability in OPC Foundation Local Discovery Server Affecting Siemens Products
SSA-699404: Observable Response Discrepancy in Mendix Forgot Password Module
SSA-813746: BadAlloc Vulnerabilities in SCALANCE X-200, X-200IRT, and X-300 Switch Families

参考情報

  1. ICS Advisory | ICSA-23-103-02
    Siemens JT Open and JT Utilities
  2. ICS Advisory | ICSA-23-103-03
    Siemens in OPC Foundation Local Discovery Server
  3. ICS Advisory | ICSA-23-103-04
    Siemens Path Traversal TIA Portal
  4. ICS Advisory | ICSA-23-103-05
    Siemens SCALANCE X-200IRT Devices
  5. ICS Advisory | ICSA-23-103-06
    Siemens SIPROTEC 5 Devices
  6. ICS Advisory | ICSA-23-103-07
    Siemens CPCI85 Firmware of SICAM A8000 Devices
  7. ICS Advisory | ICSA-23-103-08
    Siemens Mendix Forgot Password Module
  8. ICS Advisory | ICSA-23-103-09
    Siemens SCALANCE XCM332
  9. ICS Advisory | ICSA-23-103-10
    Siemens Industrial Products
  10. ICS Advisory | ICSA-23-103-11
    Siemens Teamcenter Visualization and JT2Go
  11. ICS Advisory | ICSA-23-103-12
    Siemens Polarion ALM
  12. ICS Advisory | ICSA-23-103-13
    Siemens SCALANCE X-200, X-200IRT, and X-300 Switch Families BadAlloc Vulnerabilities
  13. ICS Advisory | ICSA-23-103-01
    Siemens Adaptec maxView Application

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/04/14
[参考情報]にICS Advisoryのリンクを追加しました
2024/08/14
[想定される影響]を更新しました。