西门子修复因使用第三方组件引起的90多个漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

其中3份安全公告的整体安全评级为“严重”，8份为“高危”。这些漏洞和 Mendix、COMOS、Simcenter、SIMOTICS、SINEC、RUGGEDCOM 和SINUMERIK 产品有关。

西门子在2022年3月补丁星期二发布的安全公告中，5份和影响第三方组件的漏洞有关。其中一份安全公告描述的是71个安全漏洞对SINEC INS 的影响，这些漏洞影响的组件包括Node.js、cURL、SQLite、CivetWeb 和 BIND等。另外一份报告说明了影响COMOS，具体而言是该产品使用的 Drawings SDK的十几个漏洞。该SDK由Open Design Alliance 提供，受多个弱点影响，通过特殊构造的文件即可被触发，造成信息泄露和代码执行后果。

其它三分安全公告说明的是和RUGGEDCOM ROX和ROS设备相关的第三方组件漏洞。受影响组件包括NSS和ISC DHCP。这些漏洞如遭利用可导致代码执行、拒绝服务或敏感信息泄露。

虽然西门子为其中很多漏洞发布补丁，但对于某些缺陷仅发布了缓解措施。

西门子电气公司在本月补丁星期二中仅发布了3份新的安全公告，包括影响APC Smart-UPS 设备的三个严重漏洞。这些严重漏洞被称为 “TLStorm”，它们可被用于远程黑入并损坏受影响的UPS 设备。