Industrial

Sicherheitsinformationen

PSIRT – Product Security Incident Response Team

Das Softing PSIRT ist das zentrale Team von Softing, das die Prüfung und Offenlegung von Sicherheitsschwachstellen managt. Alle Meldungen über mögliche Schwachstellen oder andere Sicherheitsvorfälle im Zusammenhang mit Softing Produkten können an das Softing PSIRT weitergeleitet werden. Das Softing PSIRT-Team koordiniert und pflegt die Kommunikation mit allen Beteiligten, intern und extern, um auf identifizierte Sicherheitsprobleme angemessen reagieren zu können.

Warum Schwachstellen melden?

Durch die Offenlegung von Schwachstellen können wir die Schwachstellen beheben und Kunden mit den betroffenen Produkten über die Behebung informieren. Dieses Vorgehen kann uns helfen, unsere Produkte kontinuierlich sicherer zu machen und vor allem die Kunden von Softing beim Management von Sicherheitsrisiken zu unterstützen.

Wenn Sie den Verdacht haben, dass Sie eine Sicherheitslücke in einem Produkt von Softing entdeckt haben, melden Sie dies bitte per E-Mail an .

Bitte geben Sie Ihrer Meldung folgende Informationen mit:

  • Kontaktinformationen und Erreichbarkeit
  • Betroffenes Produkt inklusive Versionsnummer
  • Klassifizierung der Schwachstelle (Buffer-Overflow, XSS, …)
  • Detaillierte Beschreibung der Schwachstelle (wenn möglich, mit einem Nachweis)
  • Auswirkung der Schwachstelle (falls bekannt)
  • Aktueller Bekanntheitsgrad der Schwachstelle (Gibt es konkrete Veröffentlichungspläne oder eine Offenlegungsrichtlinie?)
  • (Firmen-)Zugehörigkeit des Berichterstatters / Finders (falls Auskunftsbereitschaft vorliegt)
  • CVSS-Score (falls bekannt)

Was passiert mit Ihrer Meldung?

Der Softing PSIRT-Prozess basiert auf dem FIRST-Framework und folgt seinen vier Schritten:
Entdeckung, Sichtung, Abhilfe, Offenlegung.

Softing stellt sicher, dass die Informationen an eine begrenzte Gruppe ausgewiesener Mitarbeiter von Softing gesendet werden, die Erfahrung im Umgang mit solchen Angelegenheiten haben, dem Softing Product Security Incident Response Team (PSIRT). Weder nicht autorisierte Mitarbeiter noch externe Benutzer haben Zugriff auf die von Ihnen gesendeten Informationen.

Softing stellt außerdem sicher, dass die Identität und die Kontaktinformationen des Sicherheitsexperten vertraulich behandelt werden und nicht in öffentlichen Erklärungen (Hinweisen und Bulletins) veröffentlicht werden, es sei denn, der Sicherheitsexperten fordert dies ausdrücklich an. Das Softing PSIRT wird die gemeldete Schwachstelle untersuchen und Sie so schnell wie möglich kontaktieren.

Bleiben Sie informiert

Das Softing PSIRT untersucht alle Meldungen zu Sicherheitsproblemen und veröffentlicht Security Advisories zu validierten Sicherheitsschwachstellen, welche Produkte von Softing direkt betreffen und entweder ein Softwareupdate, -upgrade oder eine andere kundenseitige Aktion erfordern. Als Teil der kontinuierlichen Bemühungen, Betreiber bei der Adressierung von Sicherheitsrisiken und bei dem geschützten Betrieb von Systemen zu unterstützen, veröffentlicht das Softing PSIRT Informationen, welche für Betreiber zur Bewertung der Auswirkungen einer Sicherheitsschwachstelle notwendig sind.

Bleiben Sie mit unseren Security Advisories auf dem Laufenden

Schwachstellen von Produkten bei Softing und neue oder aktualisierte Security Advisories veröffentlichen wir auf unseren Webseiten.

Kontakt Softing PSIRT

Softing PSIRT public keys

Hier können Sie unseren PGP Key herunterladen

Fingerprint: 220C 4E9E 9A71 17BB C8E1 F863 0D5C 307C CACE DEDC

Sprachen: Deutsch oder Englisch
Übermittlung: bevorzugt verschlüsselt

Sicherheitshinweise
ID Titel CVE CVSS Score Produkte Datum Download
SYT-2024-2 Missing release of memory vulnerability in uaToolkit Embedded and smartLink CVE-2024-25075 6.5

uaToolkit Embedded
smartLink HW-DP
smartLink SW-PN
smartLink HW-PN

09.03.2024

HTML
JSON

SYT-2024-1 Cross-site scripting vulnerability in TH SCOPE CVE-2023-37571 9.8 TH SCOPE 24.01.2024 HTML
JSON
ID Titel CVE CVSS Score Produkte Datum Download
SYT-2023-9 Multiple vulnerabilities in edgeConnector, edgeAggregator and Secure Integration Server CVE-2023-27335
CVE-2023-38125
CVE-2023-38126
6.6
7.2
7.2
edgeConnector
edgeAggregator
Secure Integration Server
01.12.2023 HTML
JSON
SYT-2023-8 Path Traversal vulnerability in edgeConnector, edgeAggregator and Secure Integration Server CVE-2023-39482 4.9 edgeConnector
edgeAggregator
Secure Integration Server

01.12.2023

HTML
JSON
SYT-2023-7 NULL pointer dereference vulnerability in edgeConnector, edgeAggregator and Secure Integration Server CVE-2023-27336 7.5 edgeConnector
edgeAggregator
Secure Integration Server
30.11.2023 HTML
JSON
SYT-2023-6 Relative path transversal vulnerability in Secure Integration Server CVE-2023-39481 7.2 Secure Integration Server 30.11.2023 HTML
JSON
SYT-2023-5 Improper access control vulnerability in OPC Suite CVE-2023-37572 5.6 OPC Suite 29.11.2023 HTML
JSON
SYT-2023-4 Improper input validation vulnerability in edgeConnector Siemens CVE-2023-6358 4.9 edgeConnector Siemens 28.11.2023 HTML
JSON
SYT-2023-3 Uncaught exception vulnerability in OPC UA C++ SDK, Secure Integration Server and OPC Suite CVE-2023-41151 7.5

OPC UA C++ SDK
OPC Suite
Secure Integration Server

07.11.2023

HTML
JSON

SYT-2023-2 Bypass of limitations and relative path transversal vulnerability in OPC UA C++ SDK and Secure Integration Server CVE-2023-29377
CVE-2023-29378
7.7 OPC UA C++ SDK
Secure Integration Server
05.06.2023 HTML
JSON
SYT-2023-1 Uncontrolled resource consumption vulnerability in OPC UA C++ SDK, edgeConnector, edgeAggregator and Secure Integration Server CVE-2023-27334 7.5 OPC UA C++ SDK
Secure Integration Server
edgeConnector
edgeAggregator
05.06.2023 HTML
JSON
ID Titel CVE CVSS Score Produkte Datum Download
SYT-2022-11 Multiple vulnerabilities in smartLink SW-HT   7.2 smartLink SW-HT 29.12.2022 HTML
JSON
SYT-2022-10 Multiple vulnerabilities in uaToolkit Embedded and smartLink HW-DP CVE-2022-44018
CVE-2022-45920
7.5 uaToolkit Embedded
smartLink HW-DP
28.12.2022 HTML
JSON
SYT-2022-9 Improper input validation vulnerability in OPC UA C++ SDK, Secure Integration Server, edgeConnector, edgeAggregator, uaGate and OPC Suite CVE-2022-37453 7.5 OPC UA C++ SDK
Secure Integration Server
edgeConnector
edgeAggregato
uaGate
OPC Suite
14.10.2022 HTML
JSON
SYT-2022-8 Use after free vulnerability in OPC UA C++ SDK and OPC Suite CVE-2022-39823 7.5 OPC UA C++ SDK
OPC Suite
14.10.2022 HTML
JSON
SYT-2022-7 NULL pointer dereference vulnerability in OPC UA C++ SDK, Secure Integration Server, edgeConnector and edgeAggregator CVE-2022-1748 7.5 OPC UA C++ SDK
Secure Integration Server
edgeConnector
edgeAggregator
29.07.2022 HTML
JSON
SYT-2022-6 Default credentials authentication bypass vulnerability in Secure Integration Server, edgeConnector and edgeAggregator CVE-2022-2336 9.8 Secure Integration Server
edgeConnector
edgeAggregator
27.07.2022 HTML
JSON
SYT-2022-5 Remote code execution vulnerability in configuration restore functionality of Secure Integration Server CVE-2022-2334
CVE-2022-1373
CVE-2022-2338
7.2 Secure Integration Server 27.07.2022 HTML
JSON
SYT-2022-4 Multiple denial of service vulnerabilities in FastCGI interface of Secure Integration Server CVE-2022-1069
CVE-2022-2337
CVE-2022-2335
CVE-2022-2547
7.5 Secure Integration Server 27.07.2022 HTML
JSON
SYT-2022-3 Multiple vulnerabilities in the OPC UA .NET Standard SDK and the OPC UA .NET SDK CVE-2022-29862
CVE-2022-29863
CVE-2022-29864
CVE-2022-29865
7.5 OPC UA .NET Standard SDK
OPC UA .NET SDK
22.07.2022 HTML
JSON
SYT-2022-2 Vulnerabilities in the OpenSSL used in the OPC UA C++ SDK CVE-2022-0778 7.5 OPC UA C++ SDK 15.03.2022 HTML
JSON
SYT-2022-1 Multiple vulnerabilities in the OPC UA C++ SDK CVE-2021-42262
CVE-2021-42577
7.5 OPC UA C++ SDK
OPC Suite
Secure Integration Server
09.03.2022 HTML
JSON
Beschreibung Kategorie CVE Datum Produkt Behoben in Version
Mögliche Speicherbeschädigung im BT-Controller Medium CVE-2021-35093 06.12.2021 mobiLink N. A.
CWE 20: Improper Input Validation Hoch CVE-2021-40872 08.11.2021 uaToolkit Embedded
smartLink HW DP
1.40
geplant für 1.19
CWE 415: Double Free Hoch CVE-2021-40873 08.11.2021 uaToolkit Embedded
OPC UA C++ SDK
TH SCOPE
dataFEED OPC Suite
Secure Integration Server
edgeConnector
uaGates
1.40
5.66
N. A.
5.18
geplant für 1.30
3.10
1.73
CWE 20: Improper Input Validation Medium CVE-2021-40871 08.11.2021 OPC UA C++ SDK
TH SCOPE
dataFEED OPC Suite
Secure Integration Server
5.66
N. A.
5.18
geplant für 1.30
Improper Restriction of Operations within the Bounds of a Memory Buffer Hoch CVE-2021-32994 17.06.2021 OPC UA C++ SDK 5.65
Endless recursion in XML Structures Hoch CVE: 2021-27432 17.02.2021 OPC UA .NET Standard SDK
OPC UA .NET SDK
2.80
1.48
Privilege Elevation vulnerability Medium CVE: 2020-29457 15.02.2021 OPC UA .NET Standard SDK 2.80
Beschreibung Kategorie CVE Datum Produkt Behoben in Version
HEAP-BASIERTER PUFFERÜBERLAUF Hoch CVE-2020-14524 28.07.2020 dataFEED OPC Classic SDK 4.47.1
UNKONTROLLIERTER RESSOURCENVERBRAUCH Hoch CVE-2020-14522 28.07.2020 dataFEED OPC Classic SDK 4.47.1
Server erstellen nicht ausreichend viele zufällige Zahlen Hoch CVE-2019-19135 10.03.2020 .NET Standard SDK 2.40
Server erstellen nicht ausreichend viele zufällige Zahlen Hoch CVE-2019-19135 10.03.2020 dataFEED C++ SDK 5.62
Beschreibung Kategorie CVE Datum Produkt Behoben in Version
Authentifizierte Remote-Code-Ausführung möglich Hoch CVE-2019-15051 10.10.2019 uaGate SI
uaGate MB   
uaGate840D
edgeGate
1.72.00.1996
Sudo privilege Rechte erwerben Hoch CVE-2019-11526 10.10.2019 uaGate SI
uaGate MB
uaGate840D
edgeGate
1.71.00.1225
Weitere Authentifizierte Remote-Code-Ausführung möglich Hoch CVE-2019-11527 10.10.2019 uaGate SI
uaGate MB
uaGate840D
edgeGate
1.72.00.1996
Standard Unix-Benutzerrechte Hoch CVE-2019-11528 10.10.2019 uaGate SI
uaGate MB
uaGate840D
edgeGate
1.71.00.1225
Softing empfiehlt immer die aktuellste Software/Firmware-Version zu verwenden. Diese befinden sich unter Support und Downloads oder der jeweiligen Produktseite.

Vorstehende Aufstellung erhebt keinen Anspruch auf Vollständigkeit und/oder Richtigkeit. Diese Informationen stellen wir ohne Zusicherung oder Gewährleistung jedweder Art, sei sie ausdrücklich oder stillschweigend, zur Verfügung. Wir behalten uns das Recht vor, den Inhalt dieser Webseite jederzeit und ohne Vorankündigung zu ändern oder zu aktualisieren. Mit dem kostenlosen Update können Sie Schadensfolgen durch Sicherheitslücken verhindern oder begrenzen. Im Fall diesbezüglichen Unterlassens haften wir nicht für daraus entstehende Folgen. Eine Behebung von Sicherheitslücken für Produkte, welche sich bereits im End-of-Life-Zyklus befinden, findet nicht in allen Fällen statt.

Was bedeutet CVE?

Es steht für Common Vulnerabilities and Exposures (CVE) und ist ein Industriestandard, dessen Ziel die Einführung einer einheitlichen Namenskonvention für Sicherheitslücken und andere Schwachstellen in Computersystemen ist. Mehrfachbenennung gleicher Gefahren durch verschiedene Unternehmen und Institutionen werden um eine laufende Nummer (z. B. CVE-2006-3086) ergänzt, um eine eindeutige Identifizierung der Schwachstelle zu gewährleisten. Dadurch ist ein reibungsloser Informationsaustausch zwischen den verschiedenen Datenbanken einzelner Hersteller möglich.

x

Softing Industrial Support

PSIRT – Product Security Incident Response Team
psirt[at]softing[dot]com

«