Siemens Automation License Manager sérülékenységek

CH azonosító

CH-6178

Angol cím

SIEMENS AUTOMATION LICENSE MANAGER MULTIPLE VULNERABILITIES

Felfedezés dátuma

2012.01.01.

Súlyosság

Kritikus

Érintett rendszerek

Automation License Manager
Siemens

Érintett verziók

Siemens Automation License Manager (ALM) 4.0 - 5.1+SP1+Upd1 verziói
Siemens Automation License Manager (ALM) 2.0 - 5.1+SP1+Upd2 verziói

Összefoglaló

A Siemens Automation License Manager (ALM) több sérülékenységét azonosították, amelyeket a támadók kihasználhatnak szolgáltatás megtagadás (Denial of Service – DoS) okozására, a memória felülírására, fájlok módosítására vagy távoli kód futtatásra.

Leírás

  1. Az ALM nem ellenőrzi a szervernek a TCP 4410-es porton keresztül elküldött, különböző parancsokban használt, mezők hosszát. Ez a sérülékenység távoli kód futtatáshoz vezethet.
  2. Az ALM sok esetben nem ellenőrzi a szervernek a TCP 4410-es porton keresztül elküldött, különböző parancsokban használt, mezők hosszát. Ezek a sérülékenységek az alkalmazásban kivételeket eredményeznek, ami alkalmazás leálláshoz vagy szolgáltatás megtagadás támadásokhoz vezethet.
  3. Az ALM nem ellenőrzi a szervernek a TCP 4410-es porton keresztül elküldött, különböző parancsokban használt mezők tartalmát. Ez a sérülékenység NULL-mutató hivatkozás feloldási hibát okoz, ami alkalmazás leálláshoz vagy szolgáltatás megtagadás támadásokhoz vezethet.
  4. Az ALM egy ActiveX vezérlőt használ a grafikus felhasználói interfészéhez. Ez a vezérlő exportál egy eljárást, ami lehetővé teszi a fájl lementését a helyi merev lemezre. Egy rosszindulatú web oldal, amihez a felhasználó Internet Explorer-rel fér hozzá, törölheti a rendszer tetszőleges fájljának a tartalmát, amihez a felhasználónak írási jogosultsága van vagy új fájlt hozhat létre.

Az 1-3. sérülékenységek azokat a Siemens szoftver termékeket érintik, amelyek tartalmazzák az ALM 4.0 – 5.1+SP1+Upd1 verzióit.
A 4. sérülékenység azokat a Siemens szoftver termékeket érinti, amelyek tartalmazzák az ALM 2.0 –  5.1+SP1+Upd2 verzióit.

Megjegyzés:
Siemens ALM egy olyan alkalmazás, amely központilag kezeli a különböző Siemens termékek licenceit.
A termékek kapcsolatot létesítenek az ALM -el mind lokálisan mind távolról, hogy az ellenőrizze a licenceiket.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »