شماره: IRCNE2014042179
تاريخ:10 /02/93
زيمنس يك به روز رساني امنيتي را براي برطرف نمودن آسيب پذيري Heartbleed در سيستم هاي SCADA (SIMATIC WinCC Open Architecture) منتشر كرد. سيستم هاي SCADA در صنايع براي اجراي فرآيندها، ماشين ها و محصولات به طور گسترده استفاده مي شود.
آسيب پذيري Heartbleed يك حفره امنيتي بحراني است كه اوايل اين ماه در OpenSSL كشف شد. اين آسيب پذيري مي تواند براي استخراج رمزهاي عبور، كليدهاي رمزگذاري و ساير اطلاعات حساس از حافظه سرورها و كلاينت هاي TLSاي كه رمزگذاري ارتباطات آن ها مبتني بر OpenSSL است، مورد سوء استفاده قرار بگيرد.
روز جمعه شركت زيمنس راهنمايي امنيتي محصولات خود را براي آسيب پذيري HeartBleed به روز رساني كرد و اعلام كرد كه WinCC OA نسخه 3.12-P006 آسيب پذيريWinCC OA نسخه 3.12 را برطرف مي نمايد.
آسيب پذيري HeartBleed محصولات ديگر زيمنس را نيز تحت تاثير قرار داده است. اين محصولات عبارتند از: eLAN نسخه هاي پيش از 8.3.3 در حالي كه از RIP استفاده كنند، S7-1500 نسخه 1.5 زماني كه HTTPS فعال باشد، CP1543-1 نسخه 1.1 هنگامي كه FTPS فعال باشد و APE نسخه 2.0 در صورتي كه مولفه SSL/TLS در پياده سازي مشتري استفاده شده باشد.
شركت زيمنس اعلام كرد كه مشتريان ELAN مي توانند براي اصلاح اين آسيب پذيري، محصول خود را به نسخه 8.3.3 به روز رساني نمايند اما تاكنون اصلاحيه اي براي ساير محصولات آسيب پذير منتشر نشده است. اين شركت پيشنهاد مي كند براي كاهش خطرات، در S7-1500دسترسي به وب سرور را محدود يا غيرفعال نمايند و هم چنين در CP1543-1 دسترسي به FTPS را محدود و يا غيرفعال نمايند.
مشتريان APE 2.0 نيز مي توانند OpenSSL موجود در اين محصول را با توجه به دستورات ارائه شده در راهنمايي امنيتي بر روي وب سايت RuggedCom، به نسخه 1.0.1g ارتقاء دهند.
- 6