Sicherheitsprozess

Unified Automation fühlt sich zur Entwicklung von sicherer Software verpflichtet. Um dieses Ziel zu erreichen werden mehrere Ansätze verfolgt. Die fundamentale Basis ist ein solider Prozess über den gesamten Lebenszyklus der Software, bei dem in den verschiedenen Phasen der Erzeugung, des Tests, der Lieferung und der Pflege höchste Ansprüche an die Qualität gestellt werden.

Sichere Software Entwicklung

Die Softwaretools, Anwendungen und Bibliotheken werden nach einem definierten Verfahren entwickelt, das die folgenden grundlegenden Schritte umfasst:

  • Guter lesbarer Programmierstil
  • Secure Software Development Life Cycle
  • Statische Codeanalyse mit verschiedenen Tools
  • Erweiterte Unit- und Komponententests, industrieller Systemtest
  • Security Analysen und Fuzzy Test
  • OPC Foundation Zertifizierung (CTT) und Interoperability Test (IOP)

Security Response Team

Zusätzlich haben wir ein Expertenteam, das OPC-Sicherheitmeldungen überwacht, sobald sie bekannt werden. Das Team folgt einem definieren Prozess, der gemeldete Probleme zeitnah analysiert, klassifiziert und Lösungen erarbeitet. Das Team veröffentlicht Sicherheitsberichte und informiert Kunden darüber, welche Maßnahmen sie bei betroffenen Produkten ergreifen sollten.

Bekanntmachung von Sicherheitslücken

In Abhängig vom Ergebnis der Sicherheitsanalyse entscheiden wir uns, entweder nur unsere Kunden zu informieren oder den Sicherheitsbericht öffentlich zugänglich zu machen. Berichte über Sicherheitslücken, die der Öffentlichkeit zugänglich gemacht werden, finden Sie hier (Berichte sind ausschließlich in Englischer Sprache verfügbar):

# Veröffentlicht am CVE Nummer Beschreibung Verfügbarkeit des Berichts
1 9. April 2014 CVE-2014-0160 Heartbleed Bug in OpenSSL öffentlich
2 3. März 2015 CVE-2015-0286 ASN1 Crash eingeschränkt*
3 31. Juli 2017 CVE-2017-12069 XML External Entity attack when using DTD eingeschränkt*
4 8. März 2018 CVE-2018-7559 UserAuthentication Token Exploit öffentlich
5 18. Mai 2018 n/a Kaspersky 17 zero-day Exploits eingeschränkt*
6 01. Juli 2018 CVE-2018-12086 Endless recursion in DiagnosticInfo öffentlich
7 01. Juli 2018 CVE-2018-12087 Decrypt PWD sent by Clients over insecure connection eingeschränkt*
8 26. Oktober 2018 n/a Unexpected Request eingeschränkt*
9 13. November 2019 n/a Unquoted Service Path eingeschränkt*
10 10. März 2020 CVE-2019-19135 Insufficient ServerNonce öffentlich
11 16. November 2020 CVE-2020-29457 Multiple Error Suppression eingeschränkt *
12 17. Februar 2021 CVE-2017-12069 CVE-2021-27434 UPDATE: XML External Entity attack when using DTD eingeschränkt *
13 17. Februar 2021 CVE-2021-27432 Endless Recursion in XML Structures eingeschränkt *
14 18. März 2021 CVE-2021-3450 Strict Certificate Chain Validation öffentlich
15 11. November, 2021 CVE-2021-3541 Exponential Entity Expansion (DoS) in LibXML2 öffentlich
16 10. Dezember, 2021 CVE-2021-44228 Zero-day security vulnerability, Log4Shell in log4j v2.x öffentlich
17 21. Dezember 2021 CVE-2021-45117 Response message statuscode (PoD) eingeschränkt *
18 17. März 2022 CVE-2022-0778 ModSqrtFct endless loop (DoS) in OpenSSL öffentlich
19 19. April, 2022 CVE-2022-29863
CVE-2022-29866
Uncontrolled Resource Consumption (DoS) in .NET SDK eingeschränkt *
20 20. April, 2022 CVE-2022-29865 Bypass Trust Check in .NET SDK eingeschränkt *
21 22. April, 2022 CVE-2022-37013 Chained Certificate Loop PoD eingeschränkt *
22 22. April, 2022 CVE-2022-37012 Referece Counter Decrement DoS eingeschränkt *
23 22. April, 2022 n/a JFrog 12 zero-day Exploits DoS eingeschränkt *
24 24. Oktober, 2022 CVE-2022-44725 Autoload Config File (PrivEsc) in OpenSSL öffentlich
25 15. Februar 2023 CVE-2023-27321 ZDI ConditionRefresh in .NET SDK DoS eingeschränkt *
26 16. Februar 2023 CVE-2023-0286
CVE-2022-4203
CVE-2022-4304
 
3 out of 8 Bugs in OpenSSL öffentlich
27 17. Februar 2023 n/a Skip Certificate Loop in C-Stack PoD eingeschränkt *
28 08. Dezember 2023 n/a .NET Server SDK Push access to CertificateGroups eingeschränkt *
29 02. August 2024 n/a Basic128Rsa15 Padding Oracle öffentlich
30 02. August 2024 n/a HTTPS Authentication Bypass öffentlich
31 13. September 2024 n/a .NET Server SDK AdditionalHeader DoS eingeschränkt *
32 27. September, 2024 n/a C++ Server SDK double free race condition in C-Stack DoS eingeschränkt *

* eingeschränkte Verfügbarkeit des Berichts (nur für Kunden) - Anfragen über Support Formular