多款Siemens产品资源管理错误漏洞

CVE编号

CVE-2020-7587

利用情况

暂无

补丁情况

N/A

披露时间

2020-07-15

漏洞描述

Opcenter Execution Discrete V3.2之前版本, Opcenter Execution Foundation V3.2之前版本, Opcenter Execution Process V3.2之前版本, Opcenter Intelligence 所有版本, Opcenter Quality V11.3之前版本, Opcenter RD＆L V8.0版本, SIMATIC IT LMS 所有版本, SIMATIC IT Production Suite 所有版本, SIMATIC Notifier Server for Windows 所有版本, SIMATIC PCS neo V3.0 SP1之前版本, SIMATIC STEP 7 (TIA Portal) V15 V15.1 Update 5之前版本, SIMATIC STEP 7 (TIA Portal) V16 V16 Update 2之前版本, SIMOCODE ES 所有版本, Soft Starter ES 所有版本中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源（如内存、磁盘空间、文件等）的管理不当，该漏洞允许攻击者从远程服务中获取随机信息。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://cert-portal.siemens.com/productcert/pdf/ssa-841348.pdf

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	siemens	opcenter_execution_discrete	*		Up to (excluding) 3.2
	运行在以下环境
	应用	siemens	opcenter_execution_foundation	*		Up to (excluding) 3.2
	运行在以下环境
	应用	siemens	opcenter_execution_process	*		Up to (excluding) 3.2
	运行在以下环境
	应用	siemens	opcenter_intelligence	*	-
	运行在以下环境
	应用	siemens	opcenter_quality	*		Up to (excluding) 11.3
	运行在以下环境
	应用	siemens	opcenter_rd&l	8.0	-
	运行在以下环境
	应用	siemens	simatic_it_lms	*	-
	运行在以下环境
	应用	siemens	simatic_it_production_suite	*	-
	运行在以下环境
	应用	siemens	simatic_notifier_server	*	-
	运行在以下环境
	应用	siemens	simatic_pcs_neo	*	-
	运行在以下环境
	应用	siemens	simatic_step_7	*	From (including) 15	Up to (including) 15.1
	运行在以下环境
	应用	siemens	simatic_step_7	16	-
	运行在以下环境
	应用	siemens	simocode_es	*	-
	运行在以下环境
	应用	siemens	soft_starter_es	*	-

CVSS3评分 8.2

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 低
• 保密性 高
• 完整性 无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）

Exp相关链接

- avd.aliyun.com