聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。
隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。
為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。
註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。
西門子發布15個新的安全公告,通知客戶稱其產品受100多個漏洞影響,其中90多個缺陷是因為使用第三方組件而引發的。
其中3份安全公告的整體安全評級為「嚴重」,8份為「高危」。這些漏洞和 Mendix、COMOS、Simcenter、SIMOTICS、SINEC、RUGGEDCOM 和SINUMERIK 產品有關。
西門子在2022年3月補丁星期二發布的安全公告中,5份和影響第三方組件的漏洞有關。其中一份安全公告描述的是71個安全漏洞對SINEC INS 的影響,這些漏洞影響的組件包括Node.js、cURL、SQLite、CivetWeb 和 BIND等。另外一份報告說明了影響COMOS,具體而言是該產品使用的 Drawings SDK的十幾個漏洞。該SDK由Open Design Alliance 提供,受多個弱點影響,通過特殊構造的文件即可被觸發,造成信息泄露和代碼執行後果。
其它三分安全公告說明的是和RUGGEDCOM ROX和ROS設備相關的第三方組件漏洞。受影響組件包括NSS和ISC DHCP。這些漏洞如遭利用可導致代碼執行、拒絕服務或敏感信息泄露。
雖然西門子為其中很多漏洞發布補丁,但對於某些缺陷僅發布了緩解措施。
西門子電氣公司在本月補丁星期二中僅發布了3份新的安全公告,包括影響APC Smart-UPS 設備的三個嚴重漏洞。這些嚴重漏洞被稱為 「TLStorm」,它們可被用於遠程黑入並損壞受影響的UPS 設備。
https://www.securityweek.com/siemens-addresses-over-90-vulnerabilities-affecting-third-party-components
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表