개요
Siemens 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-47100
SIMATIC S7-1200 CPU family V4 버전: ~ V4.7 (제외)
CVE-2024-53649
SIPROTEC 5 – CP050 Devices 버전: ~ V9.80 (제외)
SIPROTEC 5 – CP100 Devices 버전: 모든 버전
SIPROTEC 5 – CP150 Devices 버전: ~ V9.80 (제외)
SIPROTEC 5 – CP300 Devices 버전: ~ V9.80 (제외)
CVE-2024-56841
Mendix LDAP 버전: ~ V1.1.2 (제외)
해결된 취약점
사이트 간 요청 위조 취약점(CVE-2024-47100)
웹 서버의 파일 시스템 접근을 제한하지 못하는 취약점(CVE-2024-53649)
사용자 이름 검증을 우회할 수 있는 LDAP 인젝션 취약점(CVE-2024-56841)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
취약점 패치에 대한 자세한 사항은 참고 사이트 [1], [2], [3]을 참고하시기 바랍니다.
CVE-2024-47100
SIMATIC S7-1200 CPU family V4 버전: V4.7 이상
CVE-2024-53649
SIPROTEC 5 – CP050 Devices 버전: V9.80 이상
SIPROTEC 5 – CP100 Devices 버전: 현재 패치 버전 없음
SIPROTEC 5 – CP150 Devices 버전: V9.80 이상
SIPROTEC 5 – CP300 Devices 버전: V9.80 이상
CVE-2024-56841
Mendix LDAP 버전: V1.1.2 이상
참고사이트
[1] SSA-717113: Cross-Site Request Forgery (CSRF) Vulnerability in SIMATIC S7-1200 CPUs before V4.7
https://cert-portal.siemens.com/productcert/html/ssa-717113.html
[2] SSA-194557: Improper Limitation of Filesystem Access through Web Server Vulnerability in SIPROTEC 5
https://cert-portal.siemens.com/productcert/html/ssa-194557.html
[3] SSA-314390: LDAP Injection Vulnerability in Mendix LDAP Module
https://cert-portal.siemens.com/productcert/html/ssa-314390.html