西門子于本周二通知客戶，其SIMATIC S7-1500工業(yè)自動(dòng)化控制器的多功能平臺(tái)中部分Linux與GNU組件受到20余個(gè)漏洞影響。

據(jù)悉，西門子一年前宣布，將通過新多功能平臺(tái)對(duì)SIMATIC S7-1500控制器產(chǎn)品組合進(jìn)行擴(kuò)展，允許工廠結(jié)合單個(gè)設(shè)備的控制與PC能力在控制器中運(yùn)行多個(gè)應(yīng)用程序。用戶可以實(shí)時(shí)運(yùn)行C++應(yīng)用程序，但該平臺(tái)還允許特定客戶輕松實(shí)現(xiàn)高級(jí)語言應(yīng)用程序。西門子表示，為確保設(shè)備安全，將定期發(fā)布更新。

西門子MFP

據(jù)西門子稱，CPU 1518(F)-4 PN/DP多功能平臺(tái)使用的部分Linux與GNU組件包含21個(gè)安全漏洞，這些漏洞已在最近幾個(gè)月得到修復(fù)。準(zhǔn)確地說，這些漏洞會(huì)影響Linux內(nèi)核、libxml2 XML解析庫、OpenSSH以及用于創(chuàng)建、修改與分析二進(jìn)制文件的GNU Binutils工具。

據(jù)西門子稱，該公司公告中提及的17 GNU Binutils漏洞為構(gòu)建期間相關(guān)漏洞，是最近披露的20余個(gè)Binutils漏洞之一。

據(jù)個(gè)人顧問對(duì)這些漏洞的描述，遠(yuǎn)程攻擊者可利用其中大部分漏洞，并借專門制作的文件引發(fā)拒絕服務(wù)條件，但部分漏洞會(huì)產(chǎn)生其他影響——這些其他的潛在影響尚不明確。

Linux內(nèi)核漏洞CVE-2018-17972將西門子設(shè)備暴露于攻擊之下，且允許本地攻擊者引發(fā)拒絕服務(wù)條件；而利用CVE-2018-17182，攻擊者不僅可引發(fā)拒絕服務(wù)條件，還可執(zhí)行任意代碼。

libxml2漏洞也允許拒絕服務(wù)攻擊，而OpenSSH漏洞與用戶枚舉相關(guān)。西門子表示，內(nèi)核，libxml2和OpenSSH漏洞在運(yùn)行時(shí)都是相關(guān)的。

西門子表示，為修復(fù)這些漏洞，目前正進(jìn)行固件更新。同時(shí)，該公司建議客戶應(yīng)用縱深防御措施，并避免利用不受信任的來源構(gòu)建與運(yùn)行受影響平臺(tái)上的應(yīng)用程序。