製品・ソフトウェアに関する情報

JVN脆弱性詳細

Siemens Desigo PX オートメーションコントローラ用 Desigo PX Web モジュールにおける対応する秘密鍵を再構成される脆弱性

タイトル	Siemens Desigo PX オートメーションコントローラ用 Desigo PX Web モジュールにおける対応する秘密鍵を再構成される脆弱性
概要	Siemens Desigo PX オートメーションコントローラ用 Desigo PX Web モジュールは、HTTPS 証明書の生成には不十分なエントロピーを持つ疑似乱数発生器を使用するため、対応する秘密鍵を再構成される脆弱性が存在します。
想定される影響	リモートの攻撃者により、対応する秘密鍵を再構成される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年12月16日0:00
登録日	2017年1月5日18:24
最終更新日	2017年1月5日18:24

影響を受けるシステム

シーメンス

Desigo PX PXA30-W0

Desigo PX PXA30-W0 ファームウェア 6.00.046 未満

Desigo PX PXA30-W1

Desigo PX PXA30-W1 ファームウェア 6.00.046 未満

Desigo PX PXA30-W2

Desigo PX PXA30-W2 ファームウェア 6.00.046 未満

Desigo PX PXA40-W0

Desigo PX PXA40-W0 ファームウェア 6.00.046 未満

Desigo PX PXA40-W1

Desigo PX PXA40-W1 ファームウェア 6.00.046 未満

Desigo PX PXA40-W2

Desigo PX PXA40-W2 ファームウェア 6.00.046 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-9154	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9154
National Vulnerability Database (NVD)
2	CVE-2016-9154	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9154

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-332	https://cwe.mitre.org/data/definitions/332.html

ベンダー情報

No	名前	URL
Siemens Security Advisory
1	SSA-856492	http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-856492.pdf

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-16-355-01	https://ics-cert.us-cert.gov/advisories/ICSA-16-355-01

変更履歴

No	変更内容	変更日
0	[2017年01月05日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-9154

概要	Siemens Desigo PX Web modules PXA40-W0, PXA40-W1, PXA40-W2 for Desigo PX automation controllers PXC00-E.D, PXC50-E.D, PXC100-E.D, PXC200-E.D (All firmware versions < V6.00.046) and Desigo PX Web modules PXA30-W0, PXA30-W1, PXA30-W2 for Desigo PX automation controllers PXC00-U, PXC64-U, PXC128-U (All firmware versions < V6.00.046) use a pseudo random number generator with insufficient entropy to generate certificates for HTTPS, potentially allowing remote attackers to reconstruct the corresponding private key.
公表日	2016年12月23日14:59
登録日	2021年1月26日14:19
最終更新日	2024年11月21日12:00

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:siemens:desigo_web_module_pxa30-w0_firmware::::::::			6.00.00
cpe:2.3:a:siemens:desigo_web_module_pxa30-w1_firmware::::::::			6.00.00
cpe:2.3:a:siemens:desigo_web_module_pxa30-w2_firmware::::::::			6.00.00
cpe:2.3:a:siemens:desigo_web_module_pxa40-w0_firmware::::::::			6.00.00
cpe:2.3:a:siemens:desigo_web_module_pxa40-w1_firmware::::::::			6.00.00
cpe:2.3:a:siemens:desigo_web_module_pxa40-w2_firmware::::::::			6.00.00
実行環境
1	cpe:2.3:h:siemens:desigo_web_module_pxa30-w0:-:::::::*
2	cpe:2.3:h:siemens:desigo_web_module_pxa30-w1:-:::::::*
3	cpe:2.3:h:siemens:desigo_web_module_pxa30-w2:-:::::::*
4	cpe:2.3:h:siemens:desigo_web_module_pxa40-w0:-:::::::*
5	cpe:2.3:h:siemens:desigo_web_module_pxa40-w1:-:::::::*
6	cpe:2.3:h:siemens:desigo_web_module_pxa40-w2:-:::::::*

No	URL	タグ
1	http://www.securityfocus.com/bid/94962	Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/94962	Third Party Advisory VDB Entry
3	http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-856492.pdf	Mitigation Vendor Advisory
4	http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-856492.pdf	Mitigation Vendor Advisory
5	https://ics-cert.us-cert.gov/advisories/ICSA-16-355-01	Third Party Advisory US Government Resource
6	https://ics-cert.us-cert.gov/advisories/ICSA-16-355-01	Third Party Advisory US Government Resource