ГлавнаяБаза уязвимостей БДУ → BDU:2019-00765
5.4средняя

BDU:2019-00765 (CVE-2017-3737)

Уязвимость программного обеспечения криптографической библиотеки OpenSSL, связанная с некорректной работой механизма «error state», позволяющая нарушителю передавать незашифрованные конфиденциальные данные по сети
Опубликовано: 2019-02-26
Описание

Уязвимость программного обеспечения криптографической библиотеки OpenSSL связана с некорректной работой механизма «error state», в случае если функции SSL_read() или SSL_write() вызываются напрямую приложением. Эксплуатация уязвимости может позволить нарушителю передавать незашифрованные конфиденциальные данные по сети на уровне SSL/TLS

Затрагиваемое ПО и версии
OpenSSL (1.0.2)OpenSSL (1.1.0)MindConnect IoT2040 (до 03.01)SIMATIC ET 200SP Open Controller CPU 1515SP PC (от 2.0 до 2.1.6)MindConnect Nano (IPC227D) (до 03.01)SIMATIC HMI WinCC Flexible (до 15.1)SIMATIC IPC DiagMonitor (до 5.0.3)SIMATIC WinCC OA (от 3.14 до 3.14-P021)SIMATIC WinCC OA (от 3.15 до 3.15-P014)SIMATIC WinCC OA (от 3.16 до 3.16-P002)SIMATIC WinCC (TIA Portal) (от 13 до 13 SP2 Update 2)SIMATIC WinCC (TIA Portal) (от 15 до 15 Update 2)SIMATIC S7-1200 (до 4.2.3)SIMATIC S7-1500 (до 2.5.2)SIMATIC S7-1500 Software Controller (от 2.0 до 2.6)SIMATIC STEP 7 (TIA Portal) (от 13 до 13 SP2 Update 2)SIMATIC STEP 7 (TIA Portal) (от 14)SIMATIC STEP 7 (TIA Portal) (от 15 до 15 Update 2)SINUMERIK Integrate Operate Client (до 2.0.11 включительно)SINUMERIK Integrate Operate Client (до 3.0.11 включительно)SIMATIC IPC DiagBase (до 2.1.1.0)SIMATIC WinCC (TIA Portal) (до 14 SP1 Update 6)SINUMERIK Integrate Access MyMachine (до 4.1.7 включительно)
Способ устранения

Обновление программного обеспечения:
Для MindConnect IoT2040 и MindConnect Nano (IPC227D) до V03.01:
Обновление через интерфейс Mindsphere

Для SIMATIC ET 200SP Open Controller CPU 1515SP PC до V2.1.6:
https://support.industry.siemens.com/cs/us/en/view/109759122

Для SIMATIC HMI WinCC Flexible до V15.1:
https://support.industry.siemens.com/cs/us/en/view/109758794

Для SIMATIC IPC DiagMonitor до V5.0.3:
Для обновления необходимо связаться со службой поддержки

Для SIMATIC S7-1200 до V4.2.3:
https://support.industry.siemens.com/cs/us/en/view/109741461

Для SIMATIC S7-1500 до V2.5.2:
https://support.industry.siemens.com/cs/ww/en/view/109478459

Для SIMATIC S7-1500 Software Controller до V2.6:
https://support.industry.siemens.com/cs/us/en/view/109478528

Для SIMATIC STEP 7 (TIA Portal) V13 до V13 SP2 Update 2:
https://support.industry.siemens.com/cs/ww/en/view/109759753

Для SIMATIC STEP 7 (TIA Portal) V15 до V15 Update 2:
https://support.industry.siemens.com/cs/ww/en/view/109755826

Для SIMATIC WinCC (TIA Portal) V13 до V13 SP2 Update 2:
https://support.industry.siemens.com/cs/ww/en/view/109759753

Для SIMATIC WinCC (TIA Portal) V15 до V15 Update 2:
https://support.industry.siemens.com/cs/ww/en/view/109755826

Для SIMATIC WinCC OA V3.14 до V3.14-P021:
https://portal.etm.at/index.php?option=com_content&view=category&id=67&layout=blog&Itemid=80

Для SIMATIC WinCC OA V3.15 до V3.15-P014:
https://portal.etm.at/index.php?option=com_content&view=category&id=68&layout=blog&Itemid=80

Для SIMATIC WinCC OA V3.16 до V3.16-P002:
https://portal.etm.at/index.php?option=com_content&view=category&id=69&layout=blog&Itemid=80

Для SINUMERIK Integrate Access MyMachine до V4.1.8 и SINUMERIK Integrate Operate Client до V2.0.12 / 3.0.12:
https://w3.siemens.com/aspa_app

Конпенсирующие меры:
Для S7-1200:
Ограничение доступа к веб-серверу на конкретном порту Ethernet/PROFINET port/interface ( настройка находится General /
Web server access )

Для остальных затронутых продуктов:
Ограничение доступа к сети с помощью соотвествующих механизмов (например брандмауэра)

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/pdf/ssa-179516.pdfhttps://nvd.nist.gov/vuln/detail/CVE-2017-3737https://www.openssl.org/news/secadv/20171207.txt
Проверьте безопасность своего сайта и почты → Полная проверка домена