Vulnerabilities > CVE-2014-2258 - Resource Management Errors vulnerability in Siemens products

047910
CVSS 7.8 - HIGH
Attack vector
NETWORK
Attack complexity
LOW
Privileges required
NONE
Confidentiality impact
NONE
Integrity impact
NONE
Availability impact
COMPLETE
network
low complexity
siemens
CWE-399

Summary

Siemens SIMATIC S7-1200 CPU PLC devices with firmware before 4.0 allow remote attackers to cause a denial of service (defect-mode transition) via crafted HTTPS packets, a different vulnerability than CVE-2014-2259.

Common Weakness Enumeration (CWE)

Seebug

bulletinFamilyexploit
descriptionCVE ID: CVE-2014-2249,CVE-2014-2250,CVE-2014-2252,CVE-2014-2254,CVE-2014-2256,CVE-2014-2258 SIMATIC S7-1200是可编程控制器,可实现简单却高度精确的自动化任务。 Siemens SIMATIC S7-1200 4.0.0之前版本在实现上存在多个漏洞,可被恶意利用执行跨站请求伪造、劫持用户会话、造成拒绝服务。 1、向TCP端口443发送特制的数据包造成的错误可造成设备进入defect模式。 2、随机生成器内弱熵相关错误,可导致劫持另外用户的会话。 3、特制的PROFINET数据包造成的错误可造成设备进入defect模式。 4、向TCP端口80发送特制的数据包造成的错误可造成设备进入defect模式。 5、向TCP端口102发送特制的数据包造成的错误可造成设备进入defect模式。 0 Siemens SIMATIC S7-1200 < 4.0.0 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.siemens.com/corporate-technology/pool/
idSSV:61889
last seen2017-11-19
modified2014-03-21
published2014-03-21
reporterRoot
titleSiemens SIMATIC S7-1200多个漏洞