JVNVU#97764115
Siemens製品に対するアップデート（2022年7月）

Siemensから各製品向けのアップデートが公開されました。

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

Siemensから各製品向けのアップデートが公開されました。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-225578

• 遠隔のユーザによって、カスタムSSHキーをファイルに注入される

• ローカルの第三者によって、細工したNEUファイルを介して、現プロセスのコンテキストでコードを実行される

• 遠隔の第三者によって、セッションIDをブルートフォース攻撃され、セッションをハイジャックされる
• 隣接するネットワーク上のユーザによって、当該デバイスをクラッシュさせられる
• 隣接するネットワーク上の第三者によって、当該デバイスをクラッシュさせられる

• 遠隔のユーザによって、他ユーザのセッションをハイジャックされる
• 遠隔の第三者によって、当該デバイスのデータを読み取られ、ダウンロードされる

• ローカルの第三者によって、現プロセスのコンテキストでコードを実行される

• 遠隔の高権限ユーザによって、当該製品のパスワード検証を回避され、弱いパスワードに変更される

• ローカルの第三者によって、現プロセスのコンテキストでコードを実行される
• ローカルの第三者によって、現プロセスのコンテキスト内の情報を窃取される

• ローカルの第三者によって、細工したX_Tファイルを介して、現プロセスのコンテキストでコードを実行される

• 特定条件下のHTTPSサーバではリソースを正常に解放しないため、遠隔の第三者によって、サービス運用拒否（DoS）状態にされる

• 遠隔のユーザによって、特定の構成において機微な情報を窃取される

• 遠隔の第三者によって、当該デバイスのコンテキストでコードを実行される
• 隣接するネットワーク上の高権限ユーザによって、細工したコマンドを注入され、昇格した権限で任意のコードを実行される
• 隣接するネットワーク上の高権限ユーザによって、OpenVPNの特定の構成オプションにコードを注入され、昇格した権限で任意のコードを実行される

• 遠隔の第三者によって、当該システムをサービス運用拒否（DoS）状態にされる
• 遠隔の第三者によって、任意のMQTTメッセージを送信され、当該システムで任意のリクエストを発行される

• 遠隔の高権限ユーザによって、シェルやWeb CLIを介して、rootユーザとしてOSにアクセスされる

• 遠隔のユーザによって、当該コンポーネントの可用性が損なわれる

• ローカルの第三者によって、細工したPDFファイルを介して、現プロセスのコンテキストでコードを実行される

• 遠隔のユーザによって、コンソールを介してWebサーバにコードを注入され、特定のWebリソースにアクセスしている正当なユーザが不正な動作をさせられる

• 遠隔の第三者によって、細工したHTTPパケットを介してアプリケーションをクラッシュされ、サービス運用妨害（DoS）状態にされる

• 遠隔の第三者によって、ヒープオーバーフローを引き起こされる

• 隣接するネットワーク上の第三者によって、サービス運用妨害（DoS）状態にされたり、資格情報なしでログインされる

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。