Industrial

Información de seguridad

PSIRT – Equipo de respuesta ante incidentes de seguridad de productos

El PSIRT Softing es un equipo central de Softing encargado de gestionar la investigación y divulgación de vulnerabilidades de seguridad. Todos los informes sobre posibles vulnerabilidades u otros incidentes de seguridad relacionados con los productos Softing pueden enviarse al PSIRT de Softing. El PSIRT de Softing coordina y mantiene la comunicación con todos las partes implicadas, tanto internas como externas, para poder dar una respuesta adecuada a cualquier problema de seguridad que se identifique.

¿Por qué hay que notificar las vulnerabilidades?

Revelar las vulnerabilidades nos permite corregirlas e informar de la solución a los clientes que utilizan los productos en cuestión. Este enfoque puede ayudarnos a seguir haciendo nuestros productos más seguros y, sobre todo, a ayudar a los clientes de Softing a gestionar los riesgos de seguridad.

Si cree haber descubierto una vulnerabilidad de seguridad en un producto Softing, notifíquelo por correo electrónico a .

Incluya la siguiente información en su informe:

  • Información de contacto y disponibilidad
  • Producto afectado, incluido el modelo y el número de versión
  • Clasificación de la vulnerabilidad (desbordamiento de búfer, XSS, ...)
  • Descripción detallada de la vulnerabilidad (con verificación si es posible)
  • Consecuencias de la vulnerabilidad (si se conocen)
  • Nivel actual de conocimiento de la vulnerabilidad (¿hay planes para divulgarla o existe una política al respecto?)
  • (Empresa) a la que pertenece el informador/descubridor (si el informador/descubridor está dispuesto a facilitar dicha información)
  • Puntuación CVSS (si se conoce)

¿Qué pasará con su informe?

El proceso PSIRT de Softing se basa en el esquema FIRST y sigue sus cuatro pasos:
Descubrimiento, selección, reparación y divulgación.

Softing se asegurará de que la información sea enviada a un grupo seleccionado de empleados de Softing con experiencia en la gestión de incidentes de este tipo: el Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Softing. Ni empleados no autorizados ni usuarios externos tendrán acceso a la información que usted envíe.

Además, Softing se asegurará de que la identidad y la información de contacto del experto en seguridad se mantengan confidenciales y no se publiquen en ningún comunicado público (avisos y boletines) a menos que el experto en seguridad así lo solicite. El equipo PSIRT de Softing investigará la vulnerabilidad notificada y se pondrá en contacto con usted lo antes posible.

Manténgase al día

El PSIRT de Softing investiga todos los informes de problemas de seguridad recibidos y publica avisos de seguridad sobre vulnerabilidades confirmadas que afectan directamente a los productos de Softing y que requieren una actualización del software u otra acción por parte del cliente. Como parte de su constante esfuerzo por ayudar a los operadores a hacer frente a los riesgos de seguridad y garantizar el funcionamiento protegido de los sistemas, el equipo PSIRT de Softing publica información que los operadores necesitan para evaluar las ramificaciones de una vulnerabilidad de seguridad.

Manténgase al día de nuestros avisos de seguridad

Publicamos información sobre vulnerabilidades en los productos Softing y avisos de seguridad actualizados o nuevos en nuestras páginas web.

Contacto con el PSIRT de Softing

Claves públicas PSIRT de Softing

Haga clic aquí para descargar nuestra clave PGP

Huella: 220C 4E9E 9A71 17BB C8E1 F863 0D5C 307C CACE DEDC

Idiomas: Alemán o inglés
Transmisión: preferiblemente cifrada

Avisos de seguridad
ID Título CVE Puntuación CVSS Productos Fecha Descargar
SYT-2024-2 Vulnerabilidad de falta de liberación de memoria en uaToolkit Embedded y smartLink CVE-2024-25075 6,5

uaToolkit Embedded
smartLink HW-DP
smartLink SW-PN
smartLink HW-PN

09.03.2024

HTML
JSON

SYT-2024-1 Vulnerabilidad de scripting entre sitios en TH SCOPE CVE-2023-37571 9,8 TH SCOPE 24.01.2024 HTML
JSON
ID Título CVE Puntuación CVSS Productos Fecha Descargar
SYT-2023-9 Múltiples vulnerabilidades en edgeConnector, edgeAggregator y Secure Integration Server CVE-2023-27335
CVE-2023-38125
CVE-2023-38126
6,6
7,2
7,2
edgeConnector
edgeAggregator
Secure Integration Server
01.12.2023 HTML
JSON
SYT-2023-8 Vulnerabilidad "Path Traversal" en edgeConnector, edgeAggregator y Secure Integration Server CVE-2023-39482 4,9 edgeConnector
edgeAggregator
Secure Integration Server

01.12.2023

HTML
JSON
SYT-2023-7 Vulnerabilidad de tipo "NULL pointer dereference" en edgeConnector, edgeAggregator y Secure Integration Server. CVE-2023-27336 7,5 edgeConnector
edgeAggregator
Secure Integration Server
30.11.2023 HTML
JSON
SYT-2023-6 Vulnerabilidad "Relative path transversal" en Secure Integration Server CVE-2023-39481 7,2 Secure Integration Server 30.11.2023 HTML
JSON
SYT-2023-5 Vulnerabilidad de control de acceso inadecuado en OPC Suite CVE-2023-37572 5,6 OPC Suite 29.11.2023 HTML
JSON
SYT-2023-4 Vulnerabilidad de validación de entrada inadecuada en edgeConnector Siemens CVE-2023-6358 4,9 edgeConnector Siemens 28.11.2023 HTML
JSON
SYT-2023-3 Vulnerabilidad de excepción no manejada en SDK OPC UA C++, Secure Integration Server y OPC Suite CVE-2023-41151 7,5

SDK OPC UA C++
OPC Suite
Secure Integration Server

07.11.2023

HTML
JSON

SYT-2023-2 Vulnerabilidad tipo elusión de restricciones y "relative path transversal" en SDK OPC UA C++ y Secure Integration Server CVE-2023-29377
CVE-2023-29378
7,7 SDK OPC UA C++
Secure Integration Server
05.06.2023 HTML
JSON
SYT-2023-1 Vulnerabilidad de consumo incontrolado de recursos en SDK OPC UA C++, edgeConnector, edgeAggregator y Secure Integration Server. CVE-2023-27334 7,5 SDK OPC UA C++
Secure Integration Server
edgeConnector
edgeAggregator
05.06.2023 HTML
JSON
ID Título CVE Puntuación CVSS Productos Fecha Descargar
SYT-2022-11 Múltiples vulnerabilidades en smartLink SW-HT CVE-2022-48192
CVE-2022-48193
7,2 smartLink SW-HT 29.12.2022 HTML
JSON
SYT-2022-10 Múltiples vulnerabilidades en uaToolkit integrado y smartLink HW-DP CVE-2022-44018
CVE-2022-45920
7,5 uaToolkit integrado
smartLink HW-DP
28.12.2022 HTML
JSON
SYT-2022-9 Vulnerabilidad de validación de entrada inadecuada en SDK OPC UA C++, Secure Integration Server, edgeConnector, edgeAggregator, uaGate y OPC Suite. CVE-2022-37453 7,5 SDK OPC UA C++
Secure Integration Server
edgeConnector
edgeAggregato
uaGate
OPC Suite
14.10.2022 HTML
JSON
SYT-2022-8 Vulnerabilidad de uso tras liberación de memoria en SDK OPC UA C++ y OPC Suite CVE-2022-39823 7,5 SDK OPC UA C++
OPC Suite
14.10.2022 HTML
JSON
SYT-2022-7 Vulnerabilidad de tipo "NULL pointer dereference" en SDK OPC UA C++, Secure Integration Server, edgeConnector y edgeAggregator CVE-2022-1748 7,5 SDK OPC UA C++
Secure Integration Server
edgeConnector
edgeAggregator
29.07.2022 HTML
JSON
SYT-2022-6 Vulnerabilidad de omisión de autenticación de credenciales predeterminadas en Secure Integration Server, edgeConnector y edgeAggregator CVE-2022-2336 9,8 Secure Integration Server
edgeConnector
edgeAggregator
27.07.2022 HTML
JSON
SYT-2022-5 Vulnerabilidad de ejecución remota de código en la funcionalidad de restauración de configuración de Secure Integration Server. CVE-2022-2334
CVE-2022-1373
CVE-2022-2338
7,2 Secure Integration Server 27.07.2022 HTML
JSON
SYT-2022-4 Múltiples vulnerabilidades de denegación de servicio en la interfaz FastCGI de Secure Integration Server CVE-2022-1069
CVE-2022-2337
CVE-2022-2335
CVE-2022-2547
7,5 Secure Integration Server 27.07.2022 HTML
JSON
SYT-2022-3 Múltiples vulnerabilidades en SDK OPC UA .NET Standard y SDK OPC UA .NET CVE-2022-29862
CVE-2022-29863
CVE-2022-29864
CVE-2022-29865
7,5 SDK OPC UA .NET Standard
SDK OPC UA .NET
22.07.2022 HTML
JSON
SYT-2022-2 Vulnerabilidades en el OpenSSL utilizado en el SDK OPC UA C++ CVE-2022-0778 7,5 SDK OPC UA C++ 15.03.2022 HTML
JSON
SYT-2022-1 Múltiples vulnerabilidades en el SDK OPC UA C++ CVE-2021-42262
CVE-2021-42577
7,5 SDK OPC UA C++
OPC Suite
Secure Integration Server
09.03.2022 HTML
JSON
Descripción Categoría CVE Fecha Producto Solucionado en la versión
Posible corrupción de memoria en el controlador BT Medio CVE-2021-35093 06.12.2021 mobiLink N. D.
CWE 20: Validación incorrecta de entrada Alto CVE-2021-40872 08.11.2021 uaToolkit integrado
smartLink HW DP
1.40
previsto para la 1.19
CWE 415: Doble liberación de memoria Alto CVE-2021-40873 08.11.2021 uaToolkit integrado
SDK OPC UA C++
TH SCOPE
dataFEED OPC Suite
Secure Integration Server
edgeConnector
uaGates
1.40
5.66
N. D.
5.18
previsto para la 1.30
3.10
1.73
CWE 20: Validación incorrecta de entrada Medio CVE-2021-40871 08.11.2021 SDK OPC UA C++
TH SCOPE
dataFEED OPC Suite
Secure Integration Server
5.66
N. D.
5.18
previsto para la 1.30
Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria Alto CVE-2021-32994 17.06.2021 SDK OPC UA C++ 5,65
Recursión infinita en estructuras XML Alto CVE: 2021-27432 17.02.2021 SDK OPC UA .NET Standard
SDK OPC UA .NET
2.80
1.48
Vulnerabilidad de elevación de privilegios medio CVE: 2020-29457 15.02.2021 SDK OPC UA .NET Standard 2,80
Descripción Categoría CVE Fecha Producto Solucionado en la versión
DESBORDAMIENTO DE BÚFER BASADO EN HEAP Alto CVE-2020-14524 28.07.2020 SDK OPC Classic 4.47.1
CONSUMO INCONTROLADO DE RECURSOS Alto CVE-2020-14522 28.07.2020 SDK OPC Classic 4.47.1
Los servidores no crean números suficientemente aleatorios Alto CVE-2019-19135 10.03.2020 SDK .NET Standard 2,40
Los servidores no crean números suficientemente aleatorios Alto CVE-2019-19135 10.03.2020 SDK dataFEED C++ 5,62
Descripción Categoría CVE Fecha Producto Solucionado en la versión
Ejecución remota de código autenticado posible Alto CVE-2019-15051 10.10.2019 uaGate SI
uaGate MB   
uaGate840D
edgeGate
1.72.00,1996
Escalado de privilegios sudo Alto CVE-2019-11526 10.10.2019 uaGate SI
uaGate MB
uaGate840D
edgeGate
1.71.00,1225
Otra ejecución de código remoto autenticado Alto CVE-2019-11527 10.10.2019 uaGate SI
uaGate MB
uaGate840D
edgeGate
1.72.00,1996
Permisos de usuario unix por defecto Alto CVE-2019-11528 10.10.2019 uaGate SI
uaGate MB
uaGate840D
edgeGate
1.71.00,1225
Softing recomienda utilizar siempre la última versión de software/firmware. Éstas se encuentran en Soporte y Descargas o en la página del producto correspondiente.

No se hace ninguna manifestación en cuanto a la exhaustividad o exactitud del listado anterior. Esta información se facilita sin garantía de ningún tipo, ni explícita ni tácita. Nos reservamos el derecho a modificar o actualizar el contenido de este sitio web sin previo aviso y en cualquier momento. La actualización gratuita le permite evitar o limitar las consecuencias de los daños provocados por las vulnerabilidades de seguridad. No nos hacemos responsables de las consecuencias derivadas de cualquier omisión a este respecto. Las vulnerabilidades de seguridad no pueden eliminarse en todos los casos para los productos que ya han llegado al final de su vida útil.

¿Qué significa CVE?

Son las siglas de Common Vulnerabilities and Exposures (CVE) (vulnerabilidades y exposiciones comunes) y se trata de una norma del sector cuyo objetivo es introducir una convención común para nombrar las vulnerabilidades y otros problemas de seguridad de los sistemas informáticos. Las distintas denominaciones de las mismas amenazas por parte de diferentes empresas e instituciones se complementan con un número de serie (p. ej., CVE-2006- 3086) para garantizar una identificación clara de la vulnerabilidad. Esto permite un intercambio ágil de información entre las distintas bases de datos de diferentes fabricantes.

x

Softing Industrial Support

USA, Canada, Mexico
(865) 251-5244 (Knoxville, TN)
  
Callback

Germany HQ


«