Siemens SIMATIC WinCC / PCS 7 sérülékenységek

CH azonosító

CH-9413

Angol cím

Siemens SIMATIC WinCC / PCS 7 Two Vulnerabilities

Felfedezés dátuma

2013.06.13.

Súlyosság

Alacsony

Érintett rendszerek

SIMATIC PCS 7
SIMATIC WinCC
Siemens

Érintett verziók

Siemens SIMATIC PCS 7 8.x
Siemens SIMATIC WinCC 7.x

Összefoglaló

A Siemens SIMATIC WinCC és PCS 7 olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági szabályokat, illetve SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.

Leírás

  1. Az alkalmazás fixen beállított felhasználói fiókot használ a Web Navigator belépéshez, amelyet kihasználva hitelesítés nélkül lehet hozzáférést szerezni.
  2. A WinCC Web Navigator bejelentkező képernyőnek átadott bizonyos bemeneti adat nincs megfelelően megtisztítva, mielőtt egy SQL lekérdezésben felhasználásra kerülne. Ezt kihasználva manipulálni lehet az SQL lekérdezéseket tetszőleges SQL kód befecskendezésével.

A sérülékenységeket az alábbi verziókban jelentették:

  • Siemens SIMATIC WinCC 7.2 és korábbi verziók
  • Siemens SIMATIC PCS 7 V8.0 SP1 és korábbi verziók

Megoldás

Telepítse a javítócsomagokat

Hivatkozások

VENDOR::http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-345843.pdf
SECUNIA 53805
CVE-2013-3957 - NVD CVE-2013-3957
CVE-2013-3958 - NVD CVE-2013-3958
CVE-2013-3959 - NVD CVE-2013-3959