公開日:2023/08/09 最終更新日:2023/08/14

JVNVU#90056839
Siemens製品に対するアップデート(2023年8月)

概要

Siemensから各製品向けのアップデートが公開されました。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

詳細情報

Siemensから各製品向けのアップデートが公開されました。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-001569

  • ローカルの第三者によるコード実行
SSA-116172
  • 低権限ユーザによる権限昇格
SSA-131450
  • ローカルの第三者によるコード実行
SSA-188491
  • 低権限ユーザによる昇格した権限でのコード実行
  • 遠隔の第三者によるシステムライブラリファイルのロード
SSA-264814
  • 遠隔の第三者による暗号化データの復号
SSA-264815
  • 遠隔の第三者によるメモリ内容の読み取りやサービス運用妨害(DoS)攻撃
SSA-407785
  • ローカルの第三者によるコード実行
  • ローカルの第三者によるサービス運用妨害(DoS)攻撃
SSA-472630
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
  • 低権限ユーザによるサービス運用妨害(DoS)攻撃
  • 低権限ユーザによる任意のSQLクエリ実行や権限昇格
  • 遠隔の第三者による任意のSQLクエリ実行
  • 遠隔の第三者による任意のファイル書き込み
SSA-770902
  • 遠隔の第三者によるサービス運用妨害(DoS)攻撃
SSA-811403
  • ローカルの第三者によるコード実行
SSA-908185
  • 遠隔の第三者によるミラーポートを介した悪意のあるパケット送信
SSA-975961
  • 低権限ユーザによる権限昇格
  • 低権限ユーザによる昇格した権限でのOSコマンド実行

対策方法

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。

ベンダ情報

ベンダ リンク
Siemens SSA-001569: JT File Parsing Vulnerabilities in JT Open, JT Utilities and Parasolid
SSA-116172: Nullsoft Scriptable Install System (NSIS) Vulnerability (CVE-2023-37378) in Parasolid Installer
SSA-131450: File parsing Vulnerabilities in Solid Edge, JT2Go and Teamcenter Visualization
SSA-188491: DLL Hijacking Vulnerabilities in Siemens Software Center
SSA-264814: Timing Based Side Channel Vulnerability in the OpenSSL RSA Decryption in SIMATIC Products
SSA-264815: Type Confusion Vulnerability in OpenSSL X.400 Address Processing in SIMATIC Products
SSA-407785: Multiple X_T File Parsing Vulnerabilities in Parasolid and Teamcenter Visualization
SSA-472630: Security Vulnerabilities Fixed in RUGGEDCOM CROSSBOW V5.4
SSA-770902: Denial of Service Vulnerability in the Web Server of RUGGEDCOM ROS Devices
SSA-811403: Multiple File Parsing Vulnerabilities in Solid Edge before V223 Update 7
SSA-908185: Mirror Port Isolation Vulnerability in RUGGEDCOM ROS Devices
SSA-975961: Privilege Escalation Vulnerabilities in SICAM TOOLBOX II before V07.10

参考情報

  1. ICS Advisory | ICSA-23-222-01
    ​Siemens Solid Edge, JT2Go, and Teamcenter Visualization
  2. ICS Advisory | ​​ICSA-23-222-02
    Siemens Parasolid Installer
  3. ICS Advisory | ICSA-23-222-03
    ​Siemens JT Open, JT Utilities, and Parasolid
  4. ICS Advisory | ICSA-23-222-04
    Siemens Software Center
  5. ICS Advisory | ICSA-23-222-05
    Siemens RUGGEDCOM CROSSBOW
  6. ICS Advisory | ICSA-23-222-06
    Siemens Parasolid and Teamcenter Visualization
  7. ICS Advisory | ICSA-23-222-07
    Siemens Address Processing in SIMATIC
  8. ICS Advisory | ICSA-23-222-08
    Resource Allocation in Siemens RUGGEDCOM
  9. ICS Advisory | ICSA-23-222-09
    Siemens OpenSSL RSA Decryption in SIMATIC
  10. ICS Advisory | ICSA-23-222-10
    Siemens SICAM TOOLBOX II
  11. ICS Advisory | ICSA-23-222-11
    Siemens Solid Edge SE2023
  12. ICS Advisory | ICSA-23-222-12
    Network Mirroring in Siemens RUGGEDCOM

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/08/14
[参考情報]にICS Advisoryのリンクを追加しました