JVNVU#99030761
Siemens製品に対するアップデート（2022年6月）

Siemensから各製品向けのアップデートが公開されました。

影響を受ける製品は多岐に渡ります。詳細については各アドバイザリを参照してください。

Siemensから各製品向けのアップデートが公開されました。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

SSA-145224

• 遠隔の第三者によるネットワーク通信の中断

• 遠隔のユーザによる高権限でのコード実行

• 遠隔の第三者によるディレクトリトラバーサル
• ローカルの高権限ユーザによるサービス運用妨害（DoS）攻撃
• ローカルのユーザによるsystemdおよびシステム全体の異常終了
• レースコンディションによるリバースプロキシの異常終了
• 多数ファイルの読み込みによる致命的エラーの発生
• ローカルのユーザのdocker cpを使ったファイルコピーによる、ホスト内の既存ファイルのUnixファイルアクセス権変更
• ローカルのユーザによるディレクトリトラバーサルとプログラム実行
• 高権限ユーザによる資格情報の漏えい
• ローカルのユーザによるページキャッシュへの書き込みや権限昇格

• ローカルのユーザによるターゲットマシン上での権限昇格

• 隣接ネットワークの第三者による、デフォルト資格情報を利用した不正ログインおよび管理者権限でのShared HISコンポーネントへのアクセス

• 遠隔の第三者による、クロスサイトスクリプティングを利用した悪意あるコードの実行

• libcurlの間違った接続による機密情報の露出
• 遠隔の第三者による機密情報の公開
• 遠隔のユーザによる不正なメモリ割り当て
• 整数オーバーフロー
• エンコーディングの検証不足
• 遠隔の第三者による誤った領域へのリソースの漏えい
• 遠隔の第三者によるスタックの枯渇
• BREACH攻撃による機密情報の漏えい
• 遠隔の第三者によるクロスサイトスクリプティング
• 遠隔のユーザによる権限昇格
• 特権ユーザによる悪意あるパッケージのインストール
• 不適切な入力検証によるOpenSSL証明書のパスワードの漏えい
• 遠隔のユーザによるログファイルからのユーザ情報の漏えい
• 遠隔の第三者による限定された情報へのアクセス
• 遠隔のユーザによる特権情報へのアクセス
• 遠隔の第三者による、デバイス構成インポート機能を利用した情報開示
• 遠隔の第三者によるアーキテクチャのテスト情報の取得とテスト構成の改ざん
• ローカルの高権限ユーザによるUMCユーザの一時的な資格情報を用いた認証回避
• 遠隔の第三者による、APTアップデートの不正な構成を利用した安全でないパッケージの追加
• 遠隔のユーザによる任意のコード実行

• 遠隔の第三者による、悪意のあるリクエストの実行
• 遠隔の第三者による既存ユーザ情報の変更、新規の管理者権限を持つユーザの追加
• 高権限ユーザによる他ユーザのパスワードハッシュの取得

• null ポインタ参照
• 遠隔の第三者による領域外書き込み
• 遠隔の第三者によるサーバサイドリクエストフォージェリ

• 遠隔の第三者による、メモリ破損を利用したサービス運用妨害（DoS）攻撃

• 遠隔の第三者による、BN_mod_sqrt（）関数が引き起こす無限ループを利用したサービス運用妨害（DoS）攻撃

• 遠隔のユーザによる、XXE攻撃を利用した機密データの開示
• 遠隔のユーザによる、クロスサイトスクリプティングを利用した悪意あるコードの実行

• クリックジャッキングやチャネルダウングレード等のクライアントベースの攻撃の標的になる

• ローカルのユーザによる任意コードのインジェクションおよび権限昇格

• 遠隔の第三者による正規ユーザへのなりすましやクライアントサーバプロトコルの悪用

アップデートまたはワークアラウンドを実施する
開発者が提供する情報をもとに、最新版にアップデート、またはワークアラウンドを実施してください。