Multiples vulnérabilités dans les systèmes SCADA Schneider

Gestion du document

Référence	CERTA-2013-AVI-244
Titre	Multiples vulnérabilités dans les systèmes SCADA Schneider
Date de la première version	12 avril 2013
Date de la dernière version	12 avril 2013
Source(s)	Bulletin de sécurité Schneider du 28 mars 2013
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

exécution de code arbitraire
déni de service
contournement de la politique de sécurité
élévation de privilèges

Systèmes affectés

Schneider Modbus Serial Driver version 1.10 IE v37
Schneider Modbus Serial Driver version 2.2 IE12
Schneider Modbus Serial Driver version 3.2 IE12
Schneider MiCOM S1 Studio Software
Schneider I/A Series G3 version 3.5
Schneider I/A Series G3 version 3.6

Résumé

De multiples vulnérabilités ont été corrigées dans les systèmes SCADA Schneider. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider SEVD 2013-056-01 du 25 février 2013

http://download.schneider-electric.com/files?p_File_Id=50744538&p_File_Name=SEVD-2013-056-01-IA-G3-System.pdf

Bulletin de sécurité Schneider SEVD 2013-070-01 du 11 mars 2013

http://download.schneider-electric.com/files?p_File_Id=47991052&p_File_Name=SEVD-2013-070-01.pdf

Bulletin de sécurité Schneider SEVD 2013-087-01 du 28 mars 2013

http://download.schneider-electric.com/files?p_File_Id=56543584&p_File_Name=SEVD-2013-087-01-MiCOM-S1-Studio-SW.pdf

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les systèmes SCADA Schneider