西门子SiPass集成服务器中的一些漏洞已被修补，其中包括一个允许攻击者绕过验证的漏洞。

　　SiPass是该公司在多个行业和用例中管理物理访问的综合访问控制服务器。该产品支持读卡器，并与视频监控设备集成，以及其他功能和功能。医院，机场和制造设施由西门子列为服务器的理想用例。

　　该咨询说，工业控制系统网络应急小组（ICS-CERT）周四发布了一个咨询警告用户，他们应该立即将服务器更新到V2.70。

　　ICS-CERT表示：“成功利用这些漏洞可能允许未经身份验证的攻击者通过网络访问服务器进行管理操作。

　　不正当的身份验证错误CVE-2017-9939获得了9.8的CVSS基准分数，只有最高10个。根据ICS-CERT，具有对SiPass服务器的网络访问权限的攻击者可以绕过设备上的身份验证并运行他们选择的代码或操作。

　　在更新中也修补了三个其他较小关键的漏洞。CVE-2017-9940是一种不正当的权限管理缺陷，允许攻击者具有较小的权限，通过网络将文件读取或写入SiPass服务器。

　　该更新还涉及到一个中间人的漏洞CVE-2017-9941。位于SiPass服务器和集成客户端之间的攻击者可以访问两点之间的通信。

　　最后，CVE-2017-9942是一个问题，密码以可恢复的格式存储，允许本地攻击者获取这些凭据。

　　西门子还修补了SIMATIC SmartClient Android应用程序中的两个漏洞，可以远程操作和管理SIMATIC人机界面（HMI）系统。

　　西门子公司表示，SIMATIC WinCC SmartClient for Android和适用于V1.0.2.2之前的Android版本的SmartClient Lite受到影响。

　　ICS-CERT在一份咨询中表示：“成功利用这些漏洞可能会让具有特权网络位置的攻击者读取和修改传输层安全TLS会话中的数据。

　　该更新解决了一对缺陷。第一个是中间人的漏洞，其中现有的TLS实现可能被滥用以允许攻击者访问TLS会话中的数据; CVE-2017-6870仅影响适用于Android的WinCC SmartClient。

　　第二个错误CVE-2017-6871是一个身份验证绕过漏洞。它要求攻击者可以物理访问运行该软件的解锁的Android设备，并且可以忽略针对Android的SmartClient Lite的身份验证。

责任编辑：韩希宇