{
  "document" : {
    "aggregate_severity" : {
      "text" : "hoch"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Der TCP/IP-Stack bzw. die Internet Protocol Suite ist eine Reihe von Kommunikationsprotokollen, die vom Internet oder ähnlichen Netzwerken verwendet werden.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in TCP/IP Stack ausnutzen, um beliebigen Programmcode auszuführen, einen Denial-of-Service-Zustand herbeiführen oder Sicherheitsvorkehrungen umgehen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Linux",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-1987 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2021/wid-sec-w-2023-1987.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-1987 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1987"
    }, {
      "category" : "external",
      "summary" : "Siemens Security Advisory SSA-180579 vom 2023-08-08",
      "url" : "https://cert-portal.siemens.com/productcert/html/ssa-180579.html"
    }, {
      "category" : "external",
      "summary" : "US-CERT-Report vom 2021-02-11",
      "url" : "https://us-cert.cisa.gov/ics/advisories/icsa-21-042-01"
    }, {
      "category" : "external",
      "summary" : "Siemens Security Advisory by Siemens ProductCERT",
      "url" : "https://cert-portal.siemens.com/productcert/pdf/ssa-362164.pdf"
    } ],
    "source_lang" : "en-US",
    "title" : "TCP/IP Stack: Mehrere Schwachstellen",
    "tracking" : {
      "current_release_date" : "2023-08-07T22:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:56:41.058+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-1987",
      "initial_release_date" : "2021-02-11T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2021-02-11T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      }, {
        "date" : "2021-11-08T23:00:00.000+00:00",
        "number" : "2",
        "summary" : "Neue Updates von Siemens aufgenommen"
      }, {
        "date" : "2023-08-07T22:00:00.000+00:00",
        "number" : "3",
        "summary" : "Neue Updates von Siemens aufgenommen"
      } ],
      "status" : "final",
      "version" : "3"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Open Source TCP/IP Stack",
        "product" : {
          "name" : "Open Source TCP/IP Stack",
          "product_id" : "T017866",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:open_source:tcpip_stack:-"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Open Source"
    }, {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Siemens Nucleus RTOS",
        "product" : {
          "name" : "Siemens Nucleus RTOS",
          "product_id" : "683163",
          "product_identification_helper" : {
            "cpe" : "cpe:/o:siemens:nucleus_rtos:-"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Siemens"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2020-27213",
    "notes" : [ {
      "category" : "description",
      "text" : "In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen \"NUMBER:JACK\" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T017866", "683163" ]
    },
    "release_date" : "2021-02-11T23:00:00.000+00:00",
    "title" : "CVE-2020-27213"
  }, {
    "cve" : "CVE-2020-27630",
    "notes" : [ {
      "category" : "description",
      "text" : "In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen \"NUMBER:JACK\" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T017866", "683163" ]
    },
    "release_date" : "2021-02-11T23:00:00.000+00:00",
    "title" : "CVE-2020-27630"
  }, {
    "cve" : "CVE-2020-27631",
    "notes" : [ {
      "category" : "description",
      "text" : "In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen \"NUMBER:JACK\" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T017866", "683163" ]
    },
    "release_date" : "2021-02-11T23:00:00.000+00:00",
    "title" : "CVE-2020-27631"
  }, {
    "cve" : "CVE-2020-27632",
    "notes" : [ {
      "category" : "description",
      "text" : "In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen \"NUMBER:JACK\" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T017866", "683163" ]
    },
    "release_date" : "2021-02-11T23:00:00.000+00:00",
    "title" : "CVE-2020-27632"
  }, {
    "cve" : "CVE-2020-27633",
    "notes" : [ {
      "category" : "description",
      "text" : "In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen \"NUMBER:JACK\" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T017866", "683163" ]
    },
    "release_date" : "2021-02-11T23:00:00.000+00:00",
    "title" : "CVE-2020-27633"
  }, {
    "cve" : "CVE-2020-27634",
    "notes" : [ {
      "category" : "description",
      "text" : "In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen \"NUMBER:JACK\" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T017866", "683163" ]
    },
    "release_date" : "2021-02-11T23:00:00.000+00:00",
    "title" : "CVE-2020-27634"
  }, {
    "cve" : "CVE-2020-27635",
    "notes" : [ {
      "category" : "description",
      "text" : "In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen \"NUMBER:JACK\" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T017866", "683163" ]
    },
    "release_date" : "2021-02-11T23:00:00.000+00:00",
    "title" : "CVE-2020-27635"
  }, {
    "cve" : "CVE-2020-27636",
    "notes" : [ {
      "category" : "description",
      "text" : "In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen \"NUMBER:JACK\" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T017866", "683163" ]
    },
    "release_date" : "2021-02-11T23:00:00.000+00:00",
    "title" : "CVE-2020-27636"
  }, {
    "cve" : "CVE-2020-28388",
    "notes" : [ {
      "category" : "description",
      "text" : "In TCP/IP Stack existieren mehrere Schwachstellen, die IoT-Geräte betreffen. Der Grund für diese Schwachstellen, welche unter dem Namen \"NUMBER:JACK\" veröffentlicht wurden ist, dass Fehler bei der Implementierung des ISN(Initial Sequence Number) besteht. Die ISN wird beim Aufbau einer Session erzeugt und im Fall der betroffenen TCP/IP-Stack Implementierungen wurden schwache PRNG's verwendet oder von dem entsprechenden RFC abgewichen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T017866", "683163" ]
    },
    "release_date" : "2021-02-11T23:00:00.000+00:00",
    "title" : "CVE-2020-28388"
  } ]
}