多款Siemens产品资源管理错误漏洞

CVE编号

CVE-2019-13940

利用情况

暂无

补丁情况

N/A

披露时间

2020-02-12
漏洞描述
Siemens SIMATIC S7-300 CPUs等都是德国西门子(Siemens)公司的产品。SIMATIC S7-300 CPUs是一款CPU(中央处理器)模块。Siemens SIMATIC S7-1200是一款S7-1200系列PLC(可编程逻辑控制器)。Siemens SIMATIC S7-400是一款用于制造和过程自动化领域的可编程逻辑控制器产品。
多款Siemens产品中存在资源管理错误漏洞。远程攻击者可借助特制的HTTP请求利用该漏洞导致拒绝服务。以下产品及版本受到影响:Siemens SIMATIC S7-1200 CPU系列(包括SIPLUS variants) V4.1之前版本;SIMATIC S7-300 PN/DP CPU系列(包括相关的ET200 CPUs和SIPLUS variants);SIMATIC S7-400 PN/DP CPU V6及之前版本(包括SIPLUS variants);SIMATIC S7-400 PN/DP V7版本(包括SIPLUS variants);SIMATIC WinAC RTX (F) 2010(全部版本)。

解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://support.industry.siemens.com/cs/ww/en/view/109763919
参考链接
https://cert-portal.siemens.com/productcert/pdf/ssa-431678.pdf
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 siemens simatic_winac_rtx_(f)_2010 * -
运行在以下环境
系统 siemens s7-1200_cpu_1211c_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens s7-1200_cpu_1212c_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens s7-1200_cpu_1212fc_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens s7-1200_cpu_1214c_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens s7-1200_cpu_1214fc_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens s7-1200_cpu_1215c_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens s7-1200_cpu_1215fc_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens s7-1200_cpu_1217c_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens simatic_s7-300_cpu_315-2dp_firmware * -
运行在以下环境
系统 siemens simatic_s7-300_cpu_315-2_pn/dp_firmware * -
运行在以下环境
系统 siemens simatic_s7-300_cpu_317-2_dp_firmware * -
运行在以下环境
系统 siemens simatic_s7-300_cpu_317-2_pn/dp_firmware * -
运行在以下环境
系统 siemens simatic_s7-300_cpu_319-3_pn/dp_firmware * -
运行在以下环境
系统 siemens simatic_s7-400_pn/dp_cpu_firmware * -
运行在以下环境
系统 siemens siplus_cpu_1211c_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens siplus_cpu_1212c_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens siplus_cpu_1214c_firmware * Up to
(including)
4.1
运行在以下环境
系统 siemens siplus_cpu_1215c_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens siplus_s7-1200_firmware * Up to
(excluding)
4.1
运行在以下环境
系统 siemens siplus_s7-300_cpu_314_firmware * -
运行在以下环境
系统 siemens siplus_s7-300_cpu_315-2_dp_firmware * -
运行在以下环境
系统 siemens siplus_s7-300_cpu_315-2_pn/dp_firmware * -
运行在以下环境
系统 siemens siplus_s7-300_cpu_317-2_pn/dp_firmware * -
运行在以下环境
硬件 siemens s7-1200_cpu_1211c - -
运行在以下环境
硬件 siemens s7-1200_cpu_1212c - -
运行在以下环境
硬件 siemens s7-1200_cpu_1212fc - -
运行在以下环境
硬件 siemens s7-1200_cpu_1214c - -
运行在以下环境
硬件 siemens s7-1200_cpu_1214fc - -
运行在以下环境
硬件 siemens s7-1200_cpu_1215c - -
运行在以下环境
硬件 siemens s7-1200_cpu_1215fc - -
运行在以下环境
硬件 siemens s7-1200_cpu_1217c - -
运行在以下环境
硬件 siemens simatic_s7-300_cpu_315-2dp - -
运行在以下环境
硬件 siemens simatic_s7-300_cpu_315-2_pn/dp - -
运行在以下环境
硬件 siemens simatic_s7-300_cpu_317-2_dp - -
运行在以下环境
硬件 siemens simatic_s7-300_cpu_317-2_pn/dp - -
运行在以下环境
硬件 siemens simatic_s7-300_cpu_319-3_pn/dp - -
运行在以下环境
硬件 siemens simatic_s7-400_pn/dp_cpu v7 -
运行在以下环境
硬件 siemens siplus_cpu_1211c - -
运行在以下环境
硬件 siemens siplus_cpu_1212c - -
运行在以下环境
硬件 siemens siplus_cpu_1214c - -
运行在以下环境
硬件 siemens siplus_cpu_1215c - -
运行在以下环境
硬件 siemens siplus_s7-1200 - -
运行在以下环境
硬件 siemens siplus_s7-300_cpu_314 - -
运行在以下环境
硬件 siemens siplus_s7-300_cpu_315-2_dp - -
运行在以下环境
硬件 siemens siplus_s7-300_cpu_315-2_pn/dp - -
运行在以下环境
硬件 siemens siplus_s7-300_cpu_317-2_pn/dp v6 -
CVSS3评分
7.5
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CWE-ID 漏洞类型
CWE-400 未加控制的资源消耗(资源穷尽)
阿里云安全产品覆盖情况