Siemens在本周二的补丁更新中修复了多款产品中的多个拒绝服务漏洞。

根据Siemens发布的安全公告，当启用加密通信时，Siemens SIMATIC PCS 7，SIMATIC WinCC和SIMATIC NET PC软件中存在一个拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。SIMATIC WinCC 7.3之前版本和SIMATIC PCS 7 8.1版本因没有加密通信选项，所以不受影响。

SIMATIC WinCC是Siemens的数据采集与监视控制系统；SIMATIC NET PC软件实现Siemens自动化产品与Windows PC的通信；SIMATIC PCS 7是Siemens的分布式控制系统，该系统集成了SIMATICWinCC，SIMATIC Batch，SIMATIC Route Control，OpenPCS 7和其他组件。

如果启用了加密通信，攻击者可通过向脆弱的系统发送特制的信息利用该漏洞造成拒绝服务。攻击者不需要系统权限或用户交互就可以利用该漏洞。

该漏洞是由Tenable公司的安全研究人员NicholasMiles向Siemens报送的。漏洞编号为CVE-2019-19282，CVSS v3.1基础评分为7.5分。

Siemens修复了另一个影响SIMATIC S7 CPU的拒绝服务漏洞。未经身份认证的攻击者可通过向TCP 80端口或443端口发送特制的HTTP请求利用该漏洞造成拒绝服务。

Siemens此次还修复了使用Profinet协议的多款设备中的一个拒绝服务漏洞。攻击者可通过向设备发送特制的UDP数据包利用该漏洞造成拒绝服务。SIMATICET 200SP Open Controller CPU 1515SP PC2（包括SIPLUS变体）所有版本、SIMATICS7-1500 CPU系列（包括相关的ET200CPU和SIPLUS变体）2.5及之后版本和2.8之前版本、SIMATICS7-1500软件控制器2.5及之后版本和2.8之前版本都受到影响。