Industrial

Sicherheitsinformationen

PSIRT – Product Security Incident Response Team

Das Softing PSIRT ist das zentrale Team von Softing, das die Prüfung und Offenlegung von Sicherheitsschwachstellen managt. Alle Meldungen über mögliche Schwachstellen oder andere Sicherheitsvorfälle im Zusammenhang mit Softing Produkten können an das Softing PSIRT weitergeleitet werden. Das Softing PSIRT-Team koordiniert und pflegt die Kommunikation mit allen Beteiligten, intern und extern, um auf identifizierte Sicherheitsprobleme angemessen reagieren zu können.

Warum Schwachstellen melden?

Durch die Offenlegung von Schwachstellen können wir die Schwachstellen beheben und Kunden mit den betroffenen Produkten über die Behebung informieren. Dieses Vorgehen kann uns helfen, unsere Produkte kontinuierlich sicherer zu machen und vor allem die Kunden von Softing beim Management von Sicherheitsrisiken zu unterstützen.

Wenn Sie den Verdacht haben, dass Sie eine Sicherheitslücke in einem Produkt von Softing entdeckt haben, melden Sie dies bitte per E-Mail an .

Bitte geben Sie Ihrer Meldung folgende Informationen mit:

  • Kontaktinformationen und Erreichbarkeit
  • Betroffenes Produkt inklusive Versionsnummer
  • Klassifizierung der Schwachstelle (Buffer-Overflow, XSS, …)
  • Detaillierte Beschreibung der Schwachstelle (wenn möglich, mit einem Nachweis)
  • Auswirkung der Schwachstelle (falls bekannt)
  • Aktueller Bekanntheitsgrad der Schwachstelle (Gibt es konkrete Veröffentlichungspläne oder eine Offenlegungsrichtlinie?)
  • (Firmen-)Zugehörigkeit des Berichterstatters / Finders (falls Auskunftsbereitschaft vorliegt)
  • CVSS-Score (falls bekannt)

Was passiert mit Ihrer Meldung?

Der Softing PSIRT-Prozess basiert auf dem FIRST-Framework und folgt seinen vier Schritten:
Entdeckung, Sichtung, Abhilfe, Offenlegung.

Softing stellt sicher, dass die Informationen an eine begrenzte Gruppe ausgewiesener Mitarbeiter von Softing gesendet werden, die Erfahrung im Umgang mit solchen Angelegenheiten haben, dem Softing Product Security Incident Response Team (PSIRT). Weder nicht autorisierte Mitarbeiter noch externe Benutzer haben Zugriff auf die von Ihnen gesendeten Informationen.

Softing stellt außerdem sicher, dass die Identität und die Kontaktinformationen des Sicherheitsexperten vertraulich behandelt werden und nicht in öffentlichen Erklärungen (Hinweisen und Bulletins) veröffentlicht werden, es sei denn, der Sicherheitsexperten fordert dies ausdrücklich an. Das Softing PSIRT wird die gemeldete Schwachstelle untersuchen und Sie so schnell wie möglich kontaktieren.

Bleiben Sie informiert

Das Softing PSIRT untersucht alle Meldungen zu Sicherheitsproblemen und veröffentlicht Security Advisories zu validierten Sicherheitsschwachstellen, welche Produkte von Softing direkt betreffen und entweder ein Softwareupdate, -upgrade oder eine andere kundenseitige Aktion erfordern. Als Teil der kontinuierlichen Bemühungen, Betreiber bei der Adressierung von Sicherheitsrisiken und bei dem geschützten Betrieb von Systemen zu unterstützen, veröffentlicht das Softing PSIRT Informationen, welche für Betreiber zur Bewertung der Auswirkungen einer Sicherheitsschwachstelle notwendig sind.

Bleiben Sie mit unseren Security Advisories auf dem Laufenden

Schwachstellen von Produkten bei Softing und neue oder aktualisierte Security Advisories veröffentlichen wir auf unseren Webseiten.

Kontakt Softing PSIRT

Softing PSIRT public keys

Hier können Sie unseren PGP Key herunterladen

Fingerprint: 220C 4E9E 9A71 17BB C8E1 F863 0D5C 307C CACE DEDC

Sprachen: Deutsch oder Englisch
Übermittlung: bevorzugt verschlüsselt

Sicherheitshinweise
IDTitelCVECVSS ScoreProdukteDatumDownload
SYT-2022-9Improper input validation vulnerability in OPC UA C++ SDK, Secure Integration Server, edgeConnector, edgeAggregator, uaGate and OPC SuiteCVE-2022-374537.5OPC UA C++ SDK
Secure Integration Server
edgeConnector
edgeAggregato
uaGate
OPC Suite
14.10.2022HTML
JSON
SYT-2022-8Use after free vulnerability in OPC UA C++ SDK and OPC SuiteCVE-2022-398237.5OPC UA C++ SDK
OPC Suite
14.10.2022HTML
JSON
SYT-2022-7NULL pointer dereference vulnerability in OPC UA C++ SDK, Secure Integration Server, edgeConnector and edgeAggregatorCVE-2022-17487.5OPC UA C++ SDK
Secure Integration Server
edgeConnector
edgeAggregator
29.07.2022HTML
JSON
SYT-2022-6Default credentials authentication bypass vulnerability in Secure Integration Server, edgeConnector and edgeAggregatorCVE-2022-23369.8Secure Integration Server
edgeConnector
edgeAggregator
27.07.2022HTML
JSON
SYT-2022-5Remote code execution vulnerability in configuration restore functionality of Secure Integration ServerCVE-2022-2334
CVE-2022-1373
CVE-2022-2338
7.2Secure Integration Server27.07.2022HTML
JSON
SYT-2022-4Multiple denial of service vulnerabilities in FastCGI interface of Secure Integration ServerCVE-2022-1069
CVE-2022-2337
CVE-2022-2335
CVE-2022-2547
7.5Secure Integration Server27.07.2022HTML
JSON
SYT-2022-3Multiple vulnerabilities in the OPC UA .NET Standard SDK and the OPC UA .NET SDKCVE-2022-29862
CVE-2022-29863
CVE-2022-29864
CVE-2022-29865
7.5OPC UA .NET Standard SDK
OPC UA .NET SDK
22.07.2022HTML
JSON
SYT-2022-2Vulnerabilities in the OpenSSL used in the OPC UA C++ SDKCVE-2022-07787.5OPC UA C++ SDK15.03.2022HTML
JSON
SYT-2022-1Multiple vulnerabilities in the OPC UA C++ SDKCVE-2021-42262
CVE-2021-42577
7.5OPC UA C++ SDK
OPC Suite
Secure Integration Server
09.03.2022HTML
JSON
BeschreibungKategorieCVEDatumProduktBehoben in Version
Mögliche Speicherbeschädigung im BT-ControllerMediumCVE-2021-3509306.12.2021mobiLinkN. A.
CWE 20: Improper Input ValidationHochCVE-2021-4087208.11.2021uaToolkit Embedded
smartLink HW DP
1.40
geplant für 1.19
CWE 415: Double FreeHochCVE-2021-4087308.11.2021uaToolkit Embedded
OPC UA C++ SDK
TH SCOPE
dataFEED OPC Suite
Secure Integration Server
edgeConnector
uaGates
1.40
5.66
N. A.
5.18
geplant für 1.30
geplant für 3.10
1.73
CWE 20: Improper Input ValidationMediumCVE-2021-4087108.11.2021OPC UA C++ SDK
TH SCOPE
dataFEED OPC Suite
Secure Integration Server
5.66
N. A.
5.18
geplant für 1.30
Improper Restriction of Operations within the Bounds of a Memory BufferHochCVE-2021-3299417.06.2021OPC UA C++ SDK5.65
Endless recursion in XML StructuresHochCVE: 2021-2743217.02.2021OPC UA .NET Standard SDK
OPC UA .NET SDK
2.80
1.48
Privilege Elevation vulnerabilityMediumCVE: 2020-2945715.02.2021OPC UA .NET Standard SDK2.80
BeschreibungKategorieCVEDatumProduktBehoben in Version
HEAP-BASIERTER PUFFERÜBERLAUFHochCVE-2020-1452428.07.2020dataFEED OPC Classic SDK4.47.1
UNKONTROLLIERTER RESSOURCENVERBRAUCHHochCVE-2020-1452228.07.2020dataFEED OPC Classic SDK4.47.1
Server erstellen nicht ausreichend viele zufällige ZahlenHochCVE-2019-1913510.03.2020.NET Standard SDK2.40
Server erstellen nicht ausreichend viele zufällige ZahlenHochCVE-2019-1913510.03.2020dataFEED C++ SDK5.62
BeschreibungKategorieCVEDatumProduktBehoben in Version
Authentifizierte Remote-Code-Ausführung möglichHochCVE-2019-1505110.10.2019uaGate SI
uaGate MB   
uaGate840D
edgeGate
1.72.00.1996
Sudo privilege Rechte erwerbenHochCVE-2019-1152610.10.2019uaGate SI
uaGate MB
uaGate840D
edgeGate
1.71.00.1225
Weitere Authentifizierte Remote-Code-Ausführung möglichHochCVE-2019-1152710.10.2019uaGate SI
uaGate MB
uaGate840D
edgeGate
1.72.00.1996
Standard Unix-BenutzerrechteHochCVE-2019-1152810.10.2019uaGate SI
uaGate MB
uaGate840D
edgeGate
1.71.00.1225
Softing empfiehlt immer die aktuellste Software/Firmware-Version zu verwenden. Diese befinden sich unter Support und Downloads oder der jeweiligen Produktseite.

Vorstehende Aufstellung erhebt keinen Anspruch auf Vollständigkeit und/oder Richtigkeit. Diese Informationen stellen wir ohne Zusicherung oder Gewährleistung jedweder Art, sei sie ausdrücklich oder stillschweigend, zur Verfügung. Wir behalten uns das Recht vor, den Inhalt dieser Webseite jederzeit und ohne Vorankündigung zu ändern oder zu aktualisieren. Mit dem kostenlosen Update können Sie Schadensfolgen durch Sicherheitslücken verhindern oder begrenzen. Im Fall diesbezüglichen Unterlassens haften wir nicht für daraus entstehende Folgen. Eine Behebung von Sicherheitslücken für Produkte, welche sich bereits im End-of-Life-Zyklus befinden, findet nicht in allen Fällen statt.

Was bedeutet CVE?

Es steht für Common Vulnerabilities and Exposures (CVE) und ist ein Industriestandard, dessen Ziel die Einführung einer einheitlichen Namenskonvention für Sicherheitslücken und andere Schwachstellen in Computersystemen ist. Mehrfachbenennung gleicher Gefahren durch verschiedene Unternehmen und Institutionen werden um eine laufende Nummer (z. B. CVE-2006-3086) ergänzt, um eine eindeutige Identifizierung der Schwachstelle zu gewährleisten. Dadurch ist ein reibungsloser Informationsaustausch zwischen den verschiedenen Datenbanken einzelner Hersteller möglich.

x

Softing Industrial Support

PSIRT – Product Security Incident Response Team
psirt[at]softing[dot]com

«