首页 > 清静研究 > 清静转达 > 清静通告

西门子产品高危误差清静通告

宣布时间 2018-08-15

误差编号和级别

CVE-2018-11453，，，高危，，，CVSS分值：厂商自评7.8，，，官方未评定

CVE-2018-11454，，，高危，，，CVSS分值：厂商自评8.6，，，官方未评定

影响版本

SIMATIC STEP 7 and WinCC (TIA Portal) V10, V11,V12, V13 all versions
SIMATIC STEP 7 and WinCC (TIA Portal) V14 versions < V14 SP1 Update6

SIMATIC STEP 7 and WinCC (TIA Portal) V15 versions < V15 Update 2

误差概述

西门子宣布官方通告称其SIMATIC STEP7和WinCC产品中使用的TIA Portal(Totally Integrated Automation Portal)软件保存两个高危误差（CVE-2018-11453，，，CVE-2018-11454），，，影响该2款产品的多个版本。。

CVE-2018-11453，，，在TIA Portal的默认装置中，，，不准确的文件权限可能允许具有外地文件系统会见权限的攻击者注入恶意的文件，，，以此阻止TIA Portal启动（拒绝效劳）或导致外地代码执行。。该误差不需要特殊权限，，，但受害者需要在操作后实验启动TIA Portal。。

CVE-2018-11453，，，在TIA Portal的默认装置中，，，不准确的文件权限可能允许具有外地文件系统会见权限的攻击者使用本该是由其他用户在装备上执行的资源。。该误差不需要特殊权限，，，但受害者需要将使用的文件传输到装备，，，最终执行是在目的装备上而不是在PG装备上。。

修复建议

SIMATIC STEP 7 and WinCC (TIA Portal) V10、11、12、13，，，请接纳以下规避步伐：

1.确保仅有授权的职员可以接触到操作系统

2.验证GCD文件的正当性并且仅处置惩罚受信任泉源的GSD文件

SIMATIC STEP 7 and WinCC (TIA Portal) V14用户请升级至V14 SP1 Update 6举行防护，，，下载地点：

https://support.industry.siemens.com/cs/ww/en/view/109747387

SIMATIC STEP 7 and WinCC (TIA Portal) V15用户请升级至V15 Update 2或更高版本举行防护，，，下载地点：

https://support.industry.siemens.com/cs/ww/en/view/109755826

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-18-226-01

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

南宫NG娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系南宫NG娱乐

清静研究

西门子产品高危误差清静通告

关于南宫NG娱乐

解决计划

联系南宫NG娱乐

7*24小时效劳热线