发布日期：2020-01-14
更新日期：2020-01-15

受影响系统：

Siemens TIA Portal < 15.1 Upd 4
Siemens TIA Portal 16
Siemens TIA Portal 14

描述：

---

CVE(CAN) ID: CVE-2019-10934

Siemens TIA Portal是西门子重新定义自动化的概念、平台以及标准的自动化工具平台。

TIA Portal v14、TIA Portal v15.1 Upd 4之前版本、TIA Portal v16版本，在实现上存在目录遍历漏洞，更改配置文件内容会使攻击者以SYSTEM权限执行任意代码。具有有效帐户及有限系统访问权限的攻击者可利用此漏洞。

<*来源：William Knowles
  *>

建议：

---

厂商补丁：

Siemens
-------
西门子建议安装以下软件更新来解决此漏洞：

TIA Portal V15：更新到v15.1 Upd 4

西门子已经确定了以下降低风险的特定解决方法和缓解措施：

*删除每个非管理员用户位于“TraceEngine”文件夹（通常位于“C:\ProgramData\Siemens\Automation”下）下的文件和文件夹的写入权限。

作为一般的安全措施，西门子强烈建议用户使用适当的机制保护对设备的网络访问。为了在受保护的IT环境中操作设备，西门子建议用户根据西门子工业安全性操作指南配置环境，并遵循产品手册中的建议。

西门子提供的有关工业安全的更多信息，请访问：https：//www.siemens.com/industrialsecurity

有关此漏洞的更多信息和更详细的缓解说明，请参阅西门子安全公告SSA-629512

浏览次数：1169
严重程度：0（网友投票）