ГлавнаяБаза уязвимостей БДУ → BDU:2019-04212
6.9средняя

BDU:2019-04212 (CVE-2016-7165)

Уязвимость программного обеспечения Siemens, связанная с неправильным контролем доступа, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2019-11-25
Описание

Уязвимость программного обеспечения Siemens связана с неправильным контролем доступа. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии, в результате использования путей без кавычек для продуктов не установленых по пути по умолчанию ("C:\Program Files\*")

Затрагиваемое ПО и версии
SIMATIC PCS 7 (до 7.1 включительно)SIMATIC PCS 7 (8.0)SIMATIC PCS 7 (8.1)SIMATIC STEP 7 (TIA Portal) (от 13 до 13 SP2)SIMATIC WinCC (TIA Portal) Advanced (до V14)SIMATIC WinCC (TIA Portal) Basic (до V14)SIMATIC WinCC (TIA Portal) Comfort (до V14)SIMATIC WinCC (TIA Portal) Professional (от V13 до V13 SP2)SIMATIC WinCC (TIA Portal) Professional (от V14 до V14 SP1)SIMATIC WinCC Runtime Professional (от V13 до V13 SP2)SIMATIC WinCC Runtime Professional (от V14 до V14 SP1)SIMATIC WinCC (от 7.0 SP2 до 7.0 SP2 Upd 12)SIMATIC WinCC (от 7.0 SP3 до 7.0 SP3 Upd 8)SIMATIC WinCC (от 7.2 до 7.2 Upd 14)SIMATIC WinCC (от 7.3 до 7.3 Upd 11)SIMATIC WinCC (от 7.4 до 7.4 SP1)SINEMA Remote Connect (до 1.0 SP3)SINEMA Server (до 13 SP2)SOFTNET Security Client (V5.0)Security Configuration Tool (до V4.3 HF1)TeleControl Server Basic (до V3.0 SP2)Simatic IT Production Suite (до V7.0 SP1 HFX 2)Simatic NET PC-Software (до V14)SIMATIC PCS 7 (от V8.2 до V8.2 SP1)SIMATIC STEP 7 (TIA Portal) (от V5.0 до V5.5 SP4 HF11)SIMATIC WinAC RTX 2010 incl. F (от SP2 до SP3)Primary Setup Tool (PST) (до V4.2 HF1)SIMIT (от V9.0 до V9.0 SP1)
Способ устранения

Обновление программного обеспечения :

Для SIMATIC WinCC (TIA Portal) Basic, Comfort, Advanced до V14:
https://support.industry.siemens.com/cs/ww/en/view/109739719

Для SIMATIC WinCC (TIA Portal) Professional до V13 SP2:
https://support.industry.siemens.com/cs/ww/en/view/109745155

Для SIMATIC WinCC (TIA Portal) Professional до V14 SP1:
https://support.industry.siemens.com/cs/ww/en/view/109746074

Для SIMATIC WinCC Runtime Professional до V13 SP2:
https://support.industry.siemens.com/cs/ww/en/view/109746075

Для SIMATIC WinCC Runtime Professional до V14 SP1:
https://support.industry.siemens.com/cs/ww/en/view/109746276

Для SIMATIC WinCC V7.0 SP2 до V7.0 SP2 Upd 12:
https://support.industry.siemens.com/cs/ww/en/view/109741519

Для SIMATIC WinCC до V7.0 SP3 Upd 8:
https://support.industry.siemens.com/cs/ww/en/view/109741127

Для SIMATIC WinCC до V7.2 Upd 14:
https://support.industry.siemens.com/cs/ww/en/view/109745028

Для SIMATIC WinCC до V7.3 Upd 11:
https://support.industry.siemens.com/cs/ww/en/view/109742642

Для SIMATIC WinCC до V7.4 SP1:
https://support.industry.siemens.com/cs/ww/en/view/109746038

Для Primary Setup Tool (PST) до V4.2 HF1:
https://support.industry.siemens.com/cs/ww/en/view/19440762

Для SIMATIC IT Production Suite до V7.0 SP1 HFX 2:
https://mes-simaticit.siemens.com/tss/html/hfc.html

Для SIMATIC NET PC-Software до V14:
https://support.industry.siemens.com/cs/ww/en/view/109741996

Для SIMATIC PCS 7 V7.1, V8.0,V8.1 и SOFTNET Security Client V5.0 до SIMATIC WinCC V7.3 Upd 11 (Временное исправление):
https://support.industry.siemens.com/cs/ww/en/view/109740929

Для SIMIT V9.0 до V9.0 SP1:
https://support.industry.siemens.com/cs/ww/en/view/109743963

Для SINEMA Remote Connect Client до V1.0 SP3:
https://support.industry.siemens.com/cs/ww/en/view/109754280

Для SINEMA Server до V13 SP2:
https://support.industry.siemens.com/cs/ww/en/view/109741833

Для Security Configuration Tool (SCT) до V4.3 HF1:
https://support.industry.siemens.com/cs/ww/en/view/109744041

Для TeleControl Server Basic до V3.0 SP2:
https://support.industry.siemens.com/cs/ww/en/view/109483119

Оценка CVSS
Балл6.9 — средняя опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/pdf/ssa-701708.pdfhttps://nvd.nist.gov/vuln/detail/CVE-2016-7165https://www.us-cert.gov/ics/advisories/ICSA-16-313-02
Проверьте безопасность своего сайта и почты → Полная проверка домена