关键信息: 1. 漏洞编号: - SSA-620288 2. 受影响的产品: - Capital Embedded AR Classic - Capital Embedded AR Classic R20-11 3. 漏洞描述: - 多个漏洞(也称为“NUCLEUS:13”)存在于Nucleus RTOS(实时操作系统)中,并在Siemens Security Advisory SSA-044112中报告。 - Capital Embedded AR Classic使用了受影响的Nucleus软件,因此包含这些漏洞。 4. 受影响的版本: - 所有版本 - 版本 < V2303 5. 修复建议: - 更新到V2303或更高版本 - 参见“工作区和补救措施”部分的进一步建议 6. 工作区和补救措施: - 应用网络分段并确保ECUs位于正确配置的网关/防火墙后面 - 禁用DHCP客户端功能,如果未使用,请取消选择TcplpV4General/TcplpDhcpClientEnabled Pre-Compile配置选项 7. 通用安全建议: - 强烈建议保护网络访问设备,使用适当的安全机制。 - 配置环境以符合Siemens的工业安全操作指南。 8. 产品描述: - 描述了所有在安全公告中提及的漏洞(CVE-IDs)。 - 记录了受影响产品的具体影响。 9. 漏洞详细信息: - 包括多个漏洞的详细信息,如CVE-2021-31344、CVE-2021-31345等。 - 每个漏洞的CVSS评分、向量和CWE编号。 10. 历史数据: - 版本1.0(2021-12-14):发布日期 - 版本1.1(2022-11-08):移除CVE-2021-31884,因为Capital VSTAR不受影响 - 版本1.2(2024-10-08):重命名Capital VSTAR为Capital Embedded AR Classic;为版本线R20-11添加修复 11. 使用条款: - Siemens Security Advisory受Siemens的许可条款或任何其他适用协议的约束。 总结: 这份安全公告详细描述了多个漏洞,影响了Capital Embedded AR Classic和Capital Embedded AR Classic R20-11。建议用户更新到最新版本或采取特定的补救措施来减少风险。