-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Siemens Ruggedcom en
Scalance
Advisory ID : NCSC-2020-0806
Versie : 1.00
Kans : high
CVE ID : CVE-2017-13704, CVE-2017-14491, CVE-2017-14495,
CVE-2017-14496, CVE-2019-8460, CVE-2019-11477,
CVE-2019-11478, CVE-2019-11479
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : medium
Denial-of-Service (DoS)
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20201013
Toepassing : Siemens Ruggedcom
Siemens Scalance
Versie(s) :
Platform(s) :
Beschrijving
Siemens heeft meerdere kwetsbaarheden verholpen in diverse
Ruggedcom- en Scalance-producten. Een kwaadwillende op afstand kan
de kwetsbaarheden mogelijk misbruiken om een Denial-of-Service van
dnsmasq te veroorzaken of willekeurige code te uitvoeren. Hiertoe
dient malafide netwerkverkeer naar het kwetsbare systeem te worden
verstuurd.
In 2017 en 2019 heeft Siemens reeds patches uitgebracht om de
kwetsbaarheden in een aantal systemen te verhelpen. Op 13 oktober
2020 zijn de volgende nieuwe systemen aan de oorspronkelijke
advisories toegevoegd:
* RUGGEDCOM RM1224
* SIMATIC MV500
* SCALANCE W1750D
Voor de kwetsbaarheid met kenmerk CVE-2017-14491 is publieke
proof-of-concept-code beschikbaar.
Mogelijke oplossingen
Siemens heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Voor meer informatie, zie:
CVE-2017-13704, CVE-2017-14491, CVE-2017-14495 en CVE-2017-14496:
https://cert-portal.siemens.com/productcert/pdf/ssa-689071.pdf
CVE-2019-8460, CVE-2019-11477, CVE-2019-11478 en CVE-2019-11479:
https://cert-portal.siemens.com/productcert/pdf/ssa-462066.pdf
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8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=2XbW
-----END PGP SIGNATURE-----
