发布日期：2020-01-14
更新日期：2020-01-15

受影响系统：

Siemens SINEMA Server < 14.0 SP2 Update 1

描述：

---

CVE(CAN) ID: CVE-2019-10940

Siemens SINEMA Server是网络管理软件。

Siemens SINEMA Server 14.0 SP2 Update 1之前版本在实现中存在权限分配安全漏洞，具有有效会话的、低权限的攻击者利用此漏洞可在连接的设备上执行固件更新及其他管理员操作。

<*来源：Antonin Rahon
  *>

建议：

---

厂商补丁：

Siemens
-------
Siemens建议受影响的用户更新到版本14.0 SP2 Update 1。

西门子已经确定了以下降低风险的特定解决方法和缓解措施：

*将对设备端口443/TCP的网络访问限制为受信任的IP地址。
*限制低特权帐户对可信人员的访问。

作为一般的安全措施，西门子强烈建议用户使用适当的机制保护对设备的网络访问。为了在受保护的IT环境中操作设备，西门子建议用户根据西门子工业安全性操作指南配置环境，并遵循产品手册中的建议。

西门子提供的有关工业安全的更多信息，请访问：https：//www.siemens.com/industrialsecurity

有关更多信息，请参见西门子安全公告。

浏览次数：1106
严重程度：0（网友投票）