Product Security Incident Response Team

Product Security Incident Response Team

Produktsicherheit verbessern: Tauschen Sie Informationen zu Sicherheitslücken bei Produkten von Phoenix Contact mit uns aus.

Willkommen auf der Website des Phoenix Contact Product Security Incident Response Teams (PSIRT). Das Phoenix Contact PSIRT ist das zentrale Team für Phoenix Contact und dessen Tochterunternehmen, dessen Aufgabe es ist, auf potenzielle Sicherheitslücken, Vorfälle und andere Sicherheitsprobleme im Zusammenhang mit Produkten, Lösungen sowie Diensten von Phoenix Contact zu reagieren.

Das Phoenix Contact PSIRT leitet die Offenlegung, Untersuchung und interne Koordination und veröffentlicht Sicherheitshinweise zu bestätigten Sicherheitslücken, bei denen Maßnahmen zur Abschwächung oder Behebung verfügbar sind.

Wir möchten hiermit Sicherheitsexperten und andere Akteure, die potenzielle Sicherheitsprobleme in den Produkten, Lösungen und Diensten von Phoenix Contact entdecken, aktiv dazu ermutigen, sich an das Phoenix Contact PSIRT zu wenden. Dadurch wird es möglich, Aktivitäten gemeinsam zu besprechen und abzustimmen und dadurch die Sicherheitslage für Phoenix Contact und seine Kunden zu verbessern.

Aktuelle Sicherheitshinweise

Dieser Abschnitt der Website des Phoenix Contact PSIRT enthält alle aktuellen Sicherheitshinweise, die durch das Phoenix Contact PSIRT herausgegeben wurden.

Beschreibung Sprache Stand
Security Advisories for AXC F 2152 [PDF, 78 KB]
AXC F 2152 (2404267), AXC F 2152 STARTERKIT (1046568)
Englisch 16.04.2019
Security Advisory for Phoenix Contact FL NAT SM* products [PDF, 62 KB]
FL NAT SMN 8TX-M, FL NAT SMN 8TX-M-DMG, FL NAT SMN 8TX, FL NAT SMCS 8TX
Englisch 20.03.2019
Security Advisory for RAD-80211-XD products [PDF, 61 KB]
RAD-80211-XD, RAD80211-XD/HP-BUS
Englisch 20.03.2019
Security Advisory for Phoenix Contact MEVIEW3 [PDF, 65 KB]
MEVIEW3, versions below 3.14.25 and 3.15.18
Englisch 04.03.2019
Zurück nach oben
Beschreibung Sprache Stand
Multiple vulnerabilities in FL SWITCH firmware [PDF, 87 KB]
FL SWITCH 3xxx, 4xxx, 48xx products running firmware version 1.0 to 1.34
Englisch 15.01.2019
Security Advisory for Phoenix Contact WLAN enabled devices utilizing WPA2 encryption [PDF, 78 KB]
WLAN Products
Englisch 28.09.2018
Denial of Service due to incorrect handling of web request [PDF, 62 KB]
AXL F BK PN, AXL F BK ETH, AXL F BK ETH XC
Englisch 20.09.2018
Operation of the PLC can be slowed down by network flooding [PDF]
ILC 131, 151, 171, 191 ETH
Englisch 18.07.2018
Stack Buffer Overflows in Shared Object File [PDF, 61 KB]
FL SWITCH 3xxx, FL SWITCH 4xxx, FL SWITCH 48xx
Englisch 11.05.2018
Authenticated Remote Code Execution [PDF, 61 KB]
FL SWITCH 3xxx, FL SWITCH 4xxx, FL SWITCH 48xx
Englisch 11.05.2018
Insecure Direct Object Reference to Read-Only FL SWITCH Configuration File [PDF, 61 KB]
FL SWITCH 3xxx, FL SWITCH 4xxx, FL SWITCH 48xx
Englisch 11.05.2018
Stack-based Buffer Overflow due to improper length check in cookies_get_value function [PDF, 61 KB]
FL SWITCH 3xxx, FL SWITCH 4xxx, FL SWITCH 48xx
Englisch 11.05.2018
Security Advisory addressing Meltdown and Spectre vulnerabilities [PDF, 64 KB]
Several
Englisch 23.03.2018
Improper Validation of Integrity Check Value [PDF, 61 KB]
mGuard
Englisch 29.01.2018

Sicherheitslücken melden

Jeder kann per E-Mail Informationen zu potenziellen Sicherheitslücken beim Phoenix Contact PSIRT einreichen. Ob Sie Kunde von Phoenix Contact sind oder nicht – wir möchten Sie dringend bitten, uns über entdeckte Sicherheitslücken zu informieren. Um mit uns zur Offenlegung von Sicherheitslücken zusammenzuarbeiten, ist weder eine Vertraulichkeitsvereinbarung (NDA) noch ein anderer Vertrag erforderlich. Unser Ziel ist es, mit den Meldern von Sicherheitslücken beim Umgang mit jeglichen vermuteten Sicherheitslücken bezüglich der Produkte, Lösungen und Dienste von Phoenix Contact professionell zusammenzuarbeiten.

Wir wissen koordinierte Meldungen zu Sicherheitslücken von den Mitgliedern der Sicherheits-Community sehr zu schätzen, ob es sich um Sicherheitsforscher, den Hochschulbereich, andere CERTs, Geschäftspartner, Regierungseinrichtungen oder andere Quellen handelt. Da einige unserer Komponenten als Bestandteile kritischer Anlagen bereitgestellt werden, möchten wir Sie bitten, die Offenlegung von Informationen mit uns abzustimmen. Dadurch soll deren Veröffentlichung vermieden werden, bis unsere Entwicklungsteams eine geeignete Maßnahme zur Behebung oder Abschwächung erstellt haben. Sie können sich über E-Mail an uns wenden, um uns Informationen zu Ihren vermuteten Sicherheitslücken mitzuteilen.

Zurück nach oben

Stellen Sie uns in Ihrer E-Mail die folgenden Informationen bereit, um die Bearbeitung zu beschleunigen:

  • Name des Melders: Falls Sie anonym bleiben möchten, respektieren wir Ihre Interessen.
  • Kontaktdetails: E-Mail-Adresse und Telefonnummer, unter der wir Sie erreichen können.
  • Zugehörigkeit: Wie lautet Ihre Organisationszugehörigkeit (falls vorhanden)?
  • Art der eingereichten Sicherheitslücke: Wie beschreiben Sie die Art der Sicherheitslücke (z. B. XSS, Pufferüberlauf, fest codierte Zugangsdaten …)?
  • Auslöser der Sicherheitslücke: Können Sie schädlichen Code bereitstellen, mit dem das Auslösen der Sicherheitslücke nachgewiesen werden kann (Proof-of-Concept, PoC)? Als Alternative können Sie auch Network-Traces (z. B. pcaps) oder eine Beschreibung der möglichen Auslöseweise der Sicherheitslücke einreichen.
  • Auswirkungen der Sicherheitslücken: Haben Sie Auswirkungen beobachtet, die durch die Sicherheitslücke entstehen bzw. herbeigeführt werden?
  • Betroffene Komponenten: In welchen Produkten, Lösungen oder Diensten haben Sie die Sicherheitslücke gefunden? Fügen Sie alle Informationen ein, die Ihnen zur Verfügung stehen, wie Produktfamilie und -gruppe, Firmware- oder Software-Version. Geben Sie bei Diensten den jeweiligen Ort (z. B. URL) an.
  • Vertraulichkeit von Sicherheitslücken: Wurde die Sicherheitslücke bereits offengelegt oder haben Sie konkrete Pläne für die Offenlegung?

Das Phoenix Contact PSIRT garantiert, innerhalb von zwei Geschäftstagen den Eingang von neuen Berichten zu Sicherheitslücken zu bestätigen, und dankt allen Meldern für ihre Bemühungen, um gemeinsam mit uns die Sicherheitslage für Phoenix Contact und deren Kunden zu verbessern.

Da Informationen zu Sicherheitslücken und vermuteten Sicherheitslücken kritisch sind, möchten wir Sie bitten, uns diese Informationen verschlüsselt zu übermitteln. Verwenden Sie daher unseren PGP-Schlüssel zum Verschlüsseln der Informationen, wenn Sie dem Phoenix Contact PSIRT eine potentielle Sicherheitslücke melden.

PGP-Schlüssel: 94064631
PGP-Fingerabdruck: 2075 33A9 B1E1 929D 8B9A BD18 0602 A718 9406 4631

Neuigkeiten vom Phoenix Contact PSIRT

Der Inhalt der Website wird aktualisiert, sobald neue Informationen zu Sicherheitslücken (z. B. neue Sicherheitshinweise) verfügbar sind. Besuchen Sie die Website daher regelmäßig. Abonnieren Sie unseren englischsprachigen PSIRT-Newsletter, um keine aktuellen Informationen zu verpassen.

Zurück nach oben

Ältere Sicherheitshinweise

Beschreibung Sprache Stand
Unauthorized web access to switch parameters [PDF, 34 KB]
FL SWITCH 3xxx, FL SWITCH 4xxx, FL SWITCH 48xx
Englisch 09.01.2018
Ability to see switch information using Monitor Mode [PDF, 34 KB]
FL SWITCH 3xxx, FL SWITCH 4xxx, FL SWITCH 48xx
Englisch 09.01.2018
Cross-site Scripting (XSS) vulnerability in FL COMSERVER products [PDF, 36 KB]
FL COMSERVER
Englisch 25.12.2017
Security Advisory for mGuard Device Manager, mdm [PDF, 64 KB]
mGuard
Englisch 24.08.2017
Remote denial of service vulnerability of the IKE daemon [PDF, 34 KB]
mGuard
Englisch 31.07.2017
Denial of service against IPsec [PDF, 34 KB]
mGuard
Englisch 11.05.2017
Unauthorized User-Firewall login with RADIUS [PDF, 35 KB]
mGuard
Englisch 11.05.2017
Software update changes password to default [PDF, 0,23 MB]
mGuard
Englisch 29.11.2016
LC PLC Webvisit Authentication Vulnerabilities [PDF, 67 KB]
All ILC 1xx PLC’s of Phoenix Contact
Englisch 08.11.2016
Zurück nach oben

PHOENIX CONTACT
GmbH & Co. KG

Product Security Incident Response Team

Service


Anmeldung PSIRT-Newsletter

Abonnieren Sie unseren englischsprachigen PSIRT-Newsletter, um keine aktuellen Informationen zu verpassen.

Anmelden

Abmeldung PSIRT-Newsletter

Sie wollen keine weiteren Updates vom Phoenix Contact PSIRT erhalten. Hier können Sie sich abmelden.

Abmelden

Kooperation

Wir veröffentlichen unsere Sicherheitshinweise zusammen mit anderen Unternehmen auf der VDE CERT-Website.

VDE CERT logo
CERT@VDE Website

Diese Webseite verwendet Cookies. Für weitere Informationen lesen Sie unsere Datenschutzerklärung.

Schließen