Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Annual Shading V1.0.4 et V1.1
- Desigo ABT MP1.1 Build 845, MP1.15 Build 360, MP1.16 Build 055, MP1.2 Build 850, MP1.2.1 Build 318 et MP2.1 Build 965
- Desigo CC MP1.1, MP2.0, MP2.1 et MP3.0
- Desigo Configuration Manager (DCM) V6.10.140
- Desigo XWP V5.00.204, V5.00.260, V5.10.142, V5.10.212, V6.00.184, V6.00.342 et V6.10.172
- License Management System (LMS) toutes versions antérieures à V2.1 SP3 (2.1.670)
- SiteIQ Analytics V1.1, V1.2, and V1.3
- Siveillance Identity V1.1
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SCADA Siemens Building Technologies. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens SSA-727467 du 28 mars 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-727467.pdf
- Référence CVE CVE-2017-11496 https://www.cve.org/CVERecord?id=CVE-2017-11496
- Référence CVE CVE-2017-11497 https://www.cve.org/CVERecord?id=CVE-2017-11497
- Référence CVE CVE-2017-11498 https://www.cve.org/CVERecord?id=CVE-2017-11498
- Référence CVE CVE-2017-12818 https://www.cve.org/CVERecord?id=CVE-2017-12818
- Référence CVE CVE-2017-12819 https://www.cve.org/CVERecord?id=CVE-2017-12819
- Référence CVE CVE-2017-12820 https://www.cve.org/CVERecord?id=CVE-2017-12820
- Référence CVE CVE-2017-12821 https://www.cve.org/CVERecord?id=CVE-2017-12821
- Référence CVE CVE-2017-12822 https://www.cve.org/CVERecord?id=CVE-2017-12822
