Avisos de seguridad de Siemens de enero de 2021
- SCALANCE X-200 (incluidas las variantes SIPLUS NET), todas las versiones;
- SCALANCE X-200IRT (incluidas las variantes SIPLUS NET), todas las versiones;
- SCALANCE X-300 (incluidas las variantes X408 y SIPLUS NET), versiones anteriores a la V4.1.0;
- JT2Go, versión V13.1.0 y anteriores;
- Teamcenter Visualization, versión V13.1.0 y anteriores;
- Solid Edge, versiones anteriores a la SE2021MP2;
Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.
Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 12 avisos de seguridad, de los cuales 8 son actualizaciones.
Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:
- 10 vulnerabilidades de escritura fuera de límites,
- 6 vulnerabilidades de desbordamiento de búfer basado en pila (Stack),
- 5 vulnerabilidades de desbordamiento de búfer basado en memoria dinámica (Heap),
- 2 vulnerabilidades de acceso de recurso mediante un tipo incompatible (confusión de tipos),
- 2 vulnerabilidades de uso de clave criptográfica embebida,
- 1 vulnerabilidad de ausencia de autenticación en función crítica,
- 1 vulnerabilidad de ausencia de referencia a puntero no confiable,
- 1 vulnerabilidad de restricción incorrecta de referencia a entidad externa XML (XXE),
- 1 vulnerabilidad de lectura fuera de límites,
Para estas vulnerabilidades se han reservado los siguientes identificadores:
CVE-2020-15799, CVE-2020-15800, CVE-2020-25226, CVE-2020-28391, CVE-2020-28395, CVE-2020-26980, CVE-2020-26981, CVE-2020-26982, CVE-2020-26983, CVE-2020-26984, CVE-2020-26985, CVE-2020-26986, CVE-2020-26987, CVE-2020-26988, CVE-2020-26989, CVE-2020-26990, CVE-2020-26991, CVE-2020-26992, CVE-2020-26993, CVE-2020-26994, CVE-2020-26995, CVE-2020-26996, CVE-2020-28383, CVE-2020-28381, CVE-2020-28382, CVE-2020-28383, CVE-2020-28384, CVE-2020-28386 y CVE-2020-26989.