多款Siemens产品输入验证错误漏洞

CVE编号

CVE-2019-19282

利用情况

暂无

补丁情况

N/A

披露时间

2020-03-11

漏洞描述

Siemens SIMATIC PCS 7和SIMATIC WinCC都是德国西门子（Siemens）公司的产品。SIMATIC PCS 7是一套过程控制系统。SIMATIC WinCC是一套自动化的数据采集与监控（SCADA）系统。 多款Siemens产品中存在输入验证错误漏洞。攻击者可借助特制消息利用该漏洞导致拒绝服务，影响系统的可用性。以下产品及版本受到影响：Siemens OpenPCS 7 v8.1（所有版本）；OpenPCS 7 v8.2（所有版本）；OpenPCS 7 v9.0（所有版本）；SIMATIC BATCH v8.1（所有版本）；SIMATIC BATCH v8.2（所有版本）；SIMATIC BATCH v9.0（所有版本）；SIMATIC NET PC Software（所有版本）；SIMATIC PCS 7 v8.1（所有版本）；SIMATIC PCS 7 v8.2（所有版本） ；SIMATIC PCS 7 v9.0（所有版本）；SIMATIC Route Control v8.1（所有版本）；SIMATIC Route Control v8.2（所有版本）；SIMATIC Route Control v9.0（所有版本）；SIMATIC WinCC（TIA Portal）v13 SP2之前的v13版本；SIMATIC WinCC（TIA Portal）v14.0.1（所有版本）；SIMATIC WinCC（TIA Portal）v15.1（所有版本）；SIMATIC WinCC（TIA Portal）V16 Update 1之前的v16版本；SIMATIC WinCC v7.3（所有版本）；SIMATIC WinCC v7.4（所有版本）；SIMATIC WinCC v7.5.1 Update 1之前的v7.5版本。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://cert-portal.siemens.com/productcert/pdf/ssa-270778.pdf

参考链接
https://cert-portal.siemens.com/productcert/pdf/ssa-270778.pdf

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	siemens	openpcs_7	9.0	-
	运行在以下环境
	应用	siemens	openpcs_7	9.0_update_1	-
	运行在以下环境
	应用	siemens	simatic_batch	9.0	-
	运行在以下环境
	应用	siemens	simatic_net_pc	*		Up to (excluding) 16
	运行在以下环境
	应用	siemens	simatic_net_pc	16	-
	运行在以下环境
	应用	siemens	simatic_pcs_7	8.1	-
	运行在以下环境
	应用	siemens	simatic_pcs_7	8.2	-
	运行在以下环境
	应用	siemens	simatic_pcs_7	9.0	-
	运行在以下环境
	应用	siemens	simatic_route_control	*		Up to (excluding) 9.0
	运行在以下环境
	应用	siemens	simatic_route_control	9.0	-
	运行在以下环境
	应用	siemens	simatic_wincc	13	-
	运行在以下环境
	应用	siemens	simatic_wincc	14.0.1	-
	运行在以下环境
	应用	siemens	simatic_wincc	15.1	-
	运行在以下环境
	应用	siemens	simatic_wincc	16	-
	运行在以下环境
	应用	siemens	simatic_wincc	7.4	-
	运行在以下环境
	应用	siemens	simatic_wincc	7.5	-
	运行在以下环境
	应用	siemens	simatic_wincc	7.5.1	-

CVSS3评分 7.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CWE-ID	漏洞类型
CWE-131	缓冲区大小计算不正确
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com