西門子于本周二通知客戶，其SIMATIC S7-1500工業(yè)自動化控制器的多功能平臺中部分Linux與GNU組件受到20余個漏洞影響。

據(jù)悉，西門子一年前宣布，將通過新多功能平臺對SIMATIC S7-1500控制器產品組合進行擴展，允許工廠結合單個設備的控制與PC能力在控制器中運行多個應用程序。用戶可以實時運行C++應用程序，但該平臺還允許特定客戶輕松實現(xiàn)高級語言應用程序。西門子表示，為確保設備安全，將定期發(fā)布更新。

西門子MFP

據(jù)西門子稱，CPU 1518(F)-4 PN/DP多功能平臺使用的部分Linux與GNU組件包含21個安全漏洞，這些漏洞已在最近幾個月得到修復。準確地說，這些漏洞會影響Linux內核、libxml2 XML解析庫、OpenSSH以及用于創(chuàng)建、修改與分析二進制文件的GNU Binutils工具。

據(jù)西門子稱，該公司公告中提及的17 GNU Binutils漏洞為構建期間相關漏洞，是最近披露的20余個Binutils漏洞之一。

據(jù)個人顧問對這些漏洞的描述，遠程攻擊者可利用其中大部分漏洞，并借專門制作的文件引發(fā)拒絕服務條件，但部分漏洞會產生其他影響——這些其他的潛在影響尚不明確。

Linux內核漏洞CVE-2018-17972將西門子設備暴露于攻擊之下，且允許本地攻擊者引發(fā)拒絕服務條件；而利用CVE-2018-17182，攻擊者不僅可引發(fā)拒絕服務條件，還可執(zhí)行任意代碼。

libxml2漏洞也允許拒絕服務攻擊，而OpenSSH漏洞與用戶枚舉相關。西門子表示，內核，libxml2和OpenSSH漏洞在運行時都是相關的。

西門子表示，為修復這些漏洞，目前正進行固件更新。同時，該公司建議客戶應用縱深防御措施，并避免利用不受信任的來源構建與運行受影響平臺上的應用程序。