Das Softing PSIRT ist das zentrale Team von Softing, das die Prüfung und Offenlegung von Sicherheitsschwachstellen managt. Alle Meldungen über mögliche Schwachstellen oder andere Sicherheitsvorfälle im Zusammenhang mit Softing Produkten können an das Softing PSIRT weitergeleitet werden. Das Softing PSIRT-Team koordiniert und pflegt die Kommunikation mit allen Beteiligten, intern und extern, um auf identifizierte Sicherheitsprobleme angemessen reagieren zu können.
Durch die Offenlegung von Schwachstellen können wir die Schwachstellen beheben und Kunden mit den betroffenen Produkten über die Behebung informieren. Dieses Vorgehen kann uns helfen, unsere Produkte kontinuierlich sicherer zu machen und vor allem die Kunden von Softing beim Management von Sicherheitsrisiken zu unterstützen.
Wenn Sie den Verdacht haben, dass Sie eine Sicherheitslücke in einem Produkt von Softing entdeckt haben, melden Sie dies bitte per E-Mail an psirt[at]softing[dot]com.
Bitte geben Sie Ihrer Meldung folgende Informationen mit:
Der Softing PSIRT-Prozess basiert auf dem FIRST-Framework und folgt seinen vier Schritten:
Entdeckung, Sichtung, Abhilfe, Offenlegung.
Softing stellt sicher, dass die Informationen an eine begrenzte Gruppe ausgewiesener Mitarbeiter von Softing gesendet werden, die Erfahrung im Umgang mit solchen Angelegenheiten haben, dem Softing Product Security Incident Response Team (PSIRT). Weder nicht autorisierte Mitarbeiter noch externe Benutzer haben Zugriff auf die von Ihnen gesendeten Informationen.
Softing stellt außerdem sicher, dass die Identität und die Kontaktinformationen des Sicherheitsexperten vertraulich behandelt werden und nicht in öffentlichen Erklärungen (Hinweisen und Bulletins) veröffentlicht werden, es sei denn, der Sicherheitsexperten fordert dies ausdrücklich an. Das Softing PSIRT wird die gemeldete Schwachstelle untersuchen und Sie so schnell wie möglich kontaktieren.
Das Softing PSIRT untersucht alle Meldungen zu Sicherheitsproblemen und veröffentlicht Security Advisories zu validierten Sicherheitsschwachstellen, welche Produkte von Softing direkt betreffen und entweder ein Softwareupdate, -upgrade oder eine andere kundenseitige Aktion erfordern. Als Teil der kontinuierlichen Bemühungen, Betreiber bei der Adressierung von Sicherheitsrisiken und bei dem geschützten Betrieb von Systemen zu unterstützen, veröffentlicht das Softing PSIRT Informationen, welche für Betreiber zur Bewertung der Auswirkungen einer Sicherheitsschwachstelle notwendig sind.
Schwachstellen von Produkten bei Softing und neue oder aktualisierte Security Advisories veröffentlichen wir auf unseren Webseiten.
Hier können Sie unseren PGP Key herunterladen
Fingerprint: 220C 4E9E 9A71 17BB C8E1 F863 0D5C 307C CACE DEDC
Sprachen: Deutsch oder Englisch
Übermittlung: bevorzugt verschlüsselt
ID | Titel | CVE | CVSS Score | Produkte | Datum | Download |
SYT-2024-2 | Missing release of memory vulnerability in uaToolkit Embedded and smartLink | CVE-2024-25075 | 6.5 | uaToolkit Embedded | 09.03.2024 | |
SYT-2024-1 | Cross-site scripting vulnerability in TH SCOPE | CVE-2023-37571 | 9.8 | TH SCOPE | 24.01.2024 | HTML JSON |
ID | Titel | CVE | CVSS Score | Produkte | Datum | Download |
SYT-2023-9 | Multiple vulnerabilities in edgeConnector, edgeAggregator and Secure Integration Server | CVE-2023-27335 CVE-2023-38125 CVE-2023-38126 | 6.6 7.2 7.2 | edgeConnector edgeAggregator Secure Integration Server | 01.12.2023 | HTML JSON |
SYT-2023-8 | Path Traversal vulnerability in edgeConnector, edgeAggregator and Secure Integration Server | CVE-2023-39482 | 4.9 | edgeConnector edgeAggregator Secure Integration Server | 01.12.2023 | HTML JSON |
SYT-2023-7 | NULL pointer dereference vulnerability in edgeConnector, edgeAggregator and Secure Integration Server | CVE-2023-27336 | 7.5 | edgeConnector edgeAggregator Secure Integration Server | 30.11.2023 | HTML JSON |
SYT-2023-6 | Relative path transversal vulnerability in Secure Integration Server | CVE-2023-39481 | 7.2 | Secure Integration Server | 30.11.2023 | HTML JSON |
SYT-2023-5 | Improper access control vulnerability in OPC Suite | CVE-2023-37572 | 5.6 | OPC Suite | 29.11.2023 | HTML JSON |
SYT-2023-4 | Improper input validation vulnerability in edgeConnector Siemens | CVE-2023-6358 | 4.9 | edgeConnector Siemens | 28.11.2023 | HTML JSON |
SYT-2023-3 | Uncaught exception vulnerability in OPC UA C++ SDK, Secure Integration Server and OPC Suite | CVE-2023-41151 | 7.5 | OPC UA C++ SDK | 07.11.2023 | |
SYT-2023-2 | Bypass of limitations and relative path transversal vulnerability in OPC UA C++ SDK and Secure Integration Server | CVE-2023-29377 CVE-2023-29378 | 7.7 | OPC UA C++ SDK Secure Integration Server | 05.06.2023 | HTML JSON |
SYT-2023-1 | Uncontrolled resource consumption vulnerability in OPC UA C++ SDK, edgeConnector, edgeAggregator and Secure Integration Server | CVE-2023-27334 | 7.5 | OPC UA C++ SDK Secure Integration Server edgeConnector edgeAggregator | 05.06.2023 | HTML JSON |
ID | Titel | CVE | CVSS Score | Produkte | Datum | Download |
SYT-2022-11 | Multiple vulnerabilities in smartLink SW-HT | 7.2 | smartLink SW-HT | 29.12.2022 | HTML JSON | |
SYT-2022-10 | Multiple vulnerabilities in uaToolkit Embedded and smartLink HW-DP | CVE-2022-44018 CVE-2022-45920 | 7.5 | uaToolkit Embedded smartLink HW-DP | 28.12.2022 | HTML JSON |
SYT-2022-9 | Improper input validation vulnerability in OPC UA C++ SDK, Secure Integration Server, edgeConnector, edgeAggregator, uaGate and OPC Suite | CVE-2022-37453 | 7.5 | OPC UA C++ SDK Secure Integration Server edgeConnector edgeAggregato uaGate OPC Suite | 14.10.2022 | HTML JSON |
SYT-2022-8 | Use after free vulnerability in OPC UA C++ SDK and OPC Suite | CVE-2022-39823 | 7.5 | OPC UA C++ SDK OPC Suite | 14.10.2022 | HTML JSON |
SYT-2022-7 | NULL pointer dereference vulnerability in OPC UA C++ SDK, Secure Integration Server, edgeConnector and edgeAggregator | CVE-2022-1748 | 7.5 | OPC UA C++ SDK Secure Integration Server edgeConnector edgeAggregator | 29.07.2022 | HTML JSON |
SYT-2022-6 | Default credentials authentication bypass vulnerability in Secure Integration Server, edgeConnector and edgeAggregator | CVE-2022-2336 | 9.8 | Secure Integration Server edgeConnector edgeAggregator | 27.07.2022 | HTML JSON |
SYT-2022-5 | Remote code execution vulnerability in configuration restore functionality of Secure Integration Server | CVE-2022-2334 CVE-2022-1373 CVE-2022-2338 | 7.2 | Secure Integration Server | 27.07.2022 | HTML JSON |
SYT-2022-4 | Multiple denial of service vulnerabilities in FastCGI interface of Secure Integration Server | CVE-2022-1069 CVE-2022-2337 CVE-2022-2335 CVE-2022-2547 | 7.5 | Secure Integration Server | 27.07.2022 | HTML JSON |
SYT-2022-3 | Multiple vulnerabilities in the OPC UA .NET Standard SDK and the OPC UA .NET SDK | CVE-2022-29862 CVE-2022-29863 CVE-2022-29864 CVE-2022-29865 | 7.5 | OPC UA .NET Standard SDK OPC UA .NET SDK | 22.07.2022 | HTML JSON |
SYT-2022-2 | Vulnerabilities in the OpenSSL used in the OPC UA C++ SDK | CVE-2022-0778 | 7.5 | OPC UA C++ SDK | 15.03.2022 | HTML JSON |
SYT-2022-1 | Multiple vulnerabilities in the OPC UA C++ SDK | CVE-2021-42262 CVE-2021-42577 | 7.5 | OPC UA C++ SDK OPC Suite Secure Integration Server | 09.03.2022 | HTML JSON |
Beschreibung | Kategorie | CVE | Datum | Produkt | Behoben in Version |
Mögliche Speicherbeschädigung im BT-Controller | Medium | CVE-2021-35093 | 06.12.2021 | mobiLink | N. A. |
CWE 20: Improper Input Validation | Hoch | CVE-2021-40872 | 08.11.2021 | uaToolkit Embedded smartLink HW DP | 1.40 geplant für 1.19 |
CWE 415: Double Free | Hoch | CVE-2021-40873 | 08.11.2021 | uaToolkit Embedded OPC UA C++ SDK TH SCOPE dataFEED OPC Suite Secure Integration Server edgeConnector uaGates | 1.40 5.66 N. A. 5.18 geplant für 1.30 3.10 1.73 |
CWE 20: Improper Input Validation | Medium | CVE-2021-40871 | 08.11.2021 | OPC UA C++ SDK TH SCOPE dataFEED OPC Suite Secure Integration Server | 5.66 N. A. 5.18 geplant für 1.30 |
Improper Restriction of Operations within the Bounds of a Memory Buffer | Hoch | CVE-2021-32994 | 17.06.2021 | OPC UA C++ SDK | 5.65 |
Endless recursion in XML Structures | Hoch | CVE: 2021-27432 | 17.02.2021 | OPC UA .NET Standard SDK OPC UA .NET SDK | 2.80 1.48 |
Privilege Elevation vulnerability | Medium | CVE: 2020-29457 | 15.02.2021 | OPC UA .NET Standard SDK | 2.80 |
Beschreibung | Kategorie | CVE | Datum | Produkt | Behoben in Version |
HEAP-BASIERTER PUFFERÜBERLAUF | Hoch | CVE-2020-14524 | 28.07.2020 | dataFEED OPC Classic SDK | 4.47.1 |
UNKONTROLLIERTER RESSOURCENVERBRAUCH | Hoch | CVE-2020-14522 | 28.07.2020 | dataFEED OPC Classic SDK | 4.47.1 |
Server erstellen nicht ausreichend viele zufällige Zahlen | Hoch | CVE-2019-19135 | 10.03.2020 | .NET Standard SDK | 2.40 |
Server erstellen nicht ausreichend viele zufällige Zahlen | Hoch | CVE-2019-19135 | 10.03.2020 | dataFEED C++ SDK | 5.62 |
Beschreibung | Kategorie | CVE | Datum | Produkt | Behoben in Version |
Authentifizierte Remote-Code-Ausführung möglich | Hoch | CVE-2019-15051 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.72.00.1996 |
Sudo privilege Rechte erwerben | Hoch | CVE-2019-11526 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.71.00.1225 |
Weitere Authentifizierte Remote-Code-Ausführung möglich | Hoch | CVE-2019-11527 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.72.00.1996 |
Standard Unix-Benutzerrechte | Hoch | CVE-2019-11528 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.71.00.1225 |
Vorstehende Aufstellung erhebt keinen Anspruch auf Vollständigkeit und/oder Richtigkeit. Diese Informationen stellen wir ohne Zusicherung oder Gewährleistung jedweder Art, sei sie ausdrücklich oder stillschweigend, zur Verfügung. Wir behalten uns das Recht vor, den Inhalt dieser Webseite jederzeit und ohne Vorankündigung zu ändern oder zu aktualisieren. Mit dem kostenlosen Update können Sie Schadensfolgen durch Sicherheitslücken verhindern oder begrenzen. Im Fall diesbezüglichen Unterlassens haften wir nicht für daraus entstehende Folgen. Eine Behebung von Sicherheitslücken für Produkte, welche sich bereits im End-of-Life-Zyklus befinden, findet nicht in allen Fällen statt.
Es steht für Common Vulnerabilities and Exposures (CVE) und ist ein Industriestandard, dessen Ziel die Einführung einer einheitlichen Namenskonvention für Sicherheitslücken und andere Schwachstellen in Computersystemen ist. Mehrfachbenennung gleicher Gefahren durch verschiedene Unternehmen und Institutionen werden um eine laufende Nummer (z. B. CVE-2006-3086) ergänzt, um eine eindeutige Identifizierung der Schwachstelle zu gewährleisten. Dadurch ist ein reibungsloser Informationsaustausch zwischen den verschiedenen Datenbanken einzelner Hersteller möglich.