개요
Siemens (https://www.siemens.com)에서는 공급한 제품의 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
JT2Go V14.3.0.6 미만 버전
SIMATIC CN 4100 V2.7 미만 버전
SIMATIC IPC1047E All versions with maxView Storage Manager < V4.14.00.26068 on Windows
SIMATIC IPC647E All versions with maxView Storage Manager < V4.14.00.26068 on Windows
SIMATIC IPC847E All versions with maxView Storage Manager < V4.14.00.26068 on Windows
Solid Edge SE2023 V223.0 Update 10 미만 버전
Spectrum Power 7 V23Q4 미만 버전
Teamcenter Visualization V13.3 V13.3.0.13 미만 버전
Teamcenter Visualization V14.1 V14.1.0.12 미만 버전
Teamcenter Visualization V14.2 V14.2.0.9 미만 버전
Teamcenter Visualization V14.3 V14.3.0.6 미만 버전
해결된 취약점
maxView Storage Manager 에서 입력값 검증이 미흡하여 발생하는 원격 시스템 관리를 위해 redfish® 서버가 구성된 maxview 스토리지 관리자의 기본 설치에서 무단 액세스를 제공할 수 있는 취약점 (CVE-2023-51438, CVSS 10.0) [4]
SIMATIC CN 4100 before V2.7 에서 입력값 검증 미흡하여 발생하는 서비스 거부 가능 취약점 (CVE-2023-49252, CVSS 7.5) [3]
SIMATIC CN 4100 before V2.7 에서 사용자 제어 키를 통한 인증 우회로 인해 발생하는 root 계정 액세스 가능 취약점 (CVE-2023-49251, CVSS 8.8) [3]
SIMATIC CN 4100 before V2.7 에서 기본자격증명을 사용함으로 인해 발생하는 자격 증명을 사용하여 영향을 받는 장치를 완전히 제어 가능한 취약점 (CVE-2023-49621, CVSS 9.8) [3]
Solid Edge 에서 힙 메모리 기반 버퍼 오버플로우로 인해 발생하는 버퍼 오버플로 공격 가능 취약점 (CVE-2023-49121외 2개, CVSS 7.8) [5]
Solid Edge 에서 경계값을 벗어난 읽기로 인해 발생하는 코드 실행 가능 취약점 (CVE-2023-49124외 2개, CVSS 7.8) [5]
Solid Edge 에서 경계값을 벗어난 쓰기로 인해 발생하는 코드 실행 가능 취약점 (CVE-2023-49128, CVSS 7.8) [5]
Solid Edge 에서 스택기반 버퍼 오버플로우로 인해 발생하는 코드 실행 가능 취약점 (CVE-2023-49129, CVSS 7.8) [5]
Solid Edge의 PAR 파일 파싱 과정에서 초기화되지 않은 포인터에 접근하여 발생하는 코드실행 가능 취약점 (CVE-2023-49130외 2개, CVSS 7.8) [5]
Spectrum Power 7 에서 주요 리소스에 대한 잘못된 권한 부여로 인해 발생하는 root 계정 액세스 가능 취약점 (CVE-2023-44120, CVSS 7.8) [2]
Teamcenter Visualization and JT2Go 에서 경계값을 벗어난 읽기로 인해 발생하는 코드 실행 가능 취약점 (CVE-2023-51439, CVSS 7.8) [1]
Teamcenter Visualization and JT2Go 에서 스택기반 버퍼 오버플로우로 인해 발생하는 코드 실행 가능 취약점 (CVE-2023-51745외 1개, CVSS 7.8) [1]
취약점 패치
2024년 01월 09일 업데이트를 통해 취약점 패치 또는 완화 방안이 다음과 같이 제공되었습니다. 취약점 패치에 대한 보다 자세한 사항은 참고 문서를 확인하시기 바랍니다.
JT2Go
V14.3.0.6 및 이후 버전
Teamcenter Visualization V13.3
V13.3.0.13 및 이후 버전
Teamcenter Visualization V14.1
V14.1.0.12 및 이후 버전
Teamcenter Visualization V14.2
V14.2.0.9 및 이후 버전
Teamcenter Visualization V14.3
V14.3.0.6 및 이후 버전
Spectrum Power 7
V23Q4 및 이후 버전
SIMATIC CN 4100
V2.7 및 이후 버전
https://support.industry.siemens.com/cs/ww/en/view/109814144/
SIMATIC IPC647E
maxView Storage Manager to V4.14.00.26068 및 이후 버전
https://storage.microsemi.com/en-us/support/raid/sas_raid/asr-3151- 4i/
SIMATIC IPC847E
maxView Storage Manager to V4.14.00.26068 및 이후 버전
https://storage.microsemi.com/en-us/support/raid/sas_raid/asr-3151- 4i/
SIMATIC IPC1047E
maxView Storage Manager to V4.14.00.26068 및 이후 버전
https://storage.microsemi.com/en-us/support/raid/sas_raid/asr-3151- 4i/
Solid Edge SE2023
V223.0 Update 10 및 이후 버전
참고 사이트
[1] SSA-794653 V1.0: Multiple File Parsing Vulnerabilities in Teamcenter Visualization and JT2Go
https://cert-portal.siemens.com/productcert/html/ssa-794653.html
[2] SSA-786191 V1.0: Local Privilege Escalation Vulnerability in Spectrum Power 7
https://cert-portal.siemens.com/productcert/html/ssa-786191.html
[3] SSA-777015 V1.0: Multiple Vulnerabilities in SIMATIC CN 4100 before V2.7
https://cert-portal.siemens.com/productcert/html/ssa-777015.html
[4] SSA-702935 V1.0: Redfish Server Vulnerability in maxView Storage Manager
https://cert-portal.siemens.com/productcert/html/ssa-702935.html
[5] SSA-589891 V1.0: Multiple PAR File Parsing Vulnerabilities in Solid Edge
https://cert-portal.siemens.com/productcert/html/ssa-589891.html