BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA10394
Siemens'te çoklu güvenlik açıkları
Yüklendi : 07/05/2018
Bulunma tarihi
?
01/24/2012
Şiddet
?
Kritik
Açıklama

Siemens ürünlerinde çoklu kritik güvenlik açıkları bulundu. Kötü niyetli kullanıcılar, rasgele dosyaları okumak ve değiştirmek, hizmet reddine neden olmak, isteğe bağlı kod çalıştırmak, kimlik doğrulamasını atlamak, erişim elde etmek ve isteğe bağlı HTTP üstbilgileri enjekte etmek için bu güvenlik açıklarından yararlanabilir.
Aşağıda güvenlik açıklarının tam listesi

  1. Bir dizin çapraz geçiş açığı, özel olarak tasarlanmış bir istek aracılığıyla uzaktan kullanılabilir.
  2. HmiLoad ile ilgili vektörler, özel olarak tasarlanmış TCP verileri aracılığıyla uzaktan kullanılabilir.
  3. Bir arabellek taşması, unicode dizgileriyle ilişkili vektörler aracılığıyla uzaktan kullanılabilir;
  4. Uygun olmayan URI kullanımı, özel olarak tasarlanmış bir POST isteğiyle uzaktan kullanılabilir.
  5. Öngörülebilir auth tokenleri özel olarak tasarlanmış çerezler aracılığıyla uzaktan kullanılabilir.
  6. Zayıf varsayılan şifreler, kaba kuvvetle uzaktan kullanılabilir;
  7. TELNET uygulamasında kimlik doğrulama olmaması, TCP oturumları aracılığıyla uzaktan kullanılabilir.
  8. Bir XSS güvenlik açığı uzaktan kullanılabilir;
  9. HMI web sunucusu ve çalışma zamanı yükleyicisi ile ilgili vektörler uzaktan kullanılabilir;
  10. Bir CRLF güvenlik açığı uzaktan kullanılabilir.
Etkilenmiş ürünler

Siemens WinCC esnek sürümleri 2004, 2005, 2007 ve 2008 SP 3'ten önceki sürümler
Siemens WinCC, WinCC Runtime Gelişmiş sürüm 11
Siemens Simatic HMI Panelleri TP, OP, MP, Konfor, Mobil
Siemens WinCC esnek Çalışma Zamanı

Çözüm

En son sürüme güncelle

Orijinal öneriler

Siemens bulletin

Etkiler
?
WLF 
[?]

RLF 
[?]

CI 
[?]

ACE 
[?]

SB 
[?]

DoS 
[?]
Alakalı ürünler
WinCC flexible
Simatic HMI Panels
CVE-IDS
?

CVE-2011-4512
CVE-2011-4513
CVE-2011-4510
CVE-2011-4511
CVE-2011-4514
CVE-2011-4509
CVE-2011-4508
CVE-2011-4879
CVE-2011-4878
CVE-2011-4875
CVE-2011-4877
CVE-2011-4876


Orijinaline link