Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- SINAMICS PERFECT HARMONY GH180 Drives avec MACC antérieures à V8.2.0
- SINUMERIK 828D versions antérieures à V4.7 SP6 HF1
- SINUMERIK 840D sl versions 4.7 antérieures à V4.7 SP6 HF5
- SINUMERIK 840D sl versions 4.8 antérieures à V4.8 SP3
- TIM 1531 IRC versions antérieures à V2.0
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens ssa-170881 du 11 décembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-170881.pdf
- Bulletin de sécurité Siemens ssa-674165 du 11 décembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-674165.pdf
- Bulletin de sécurité Siemens ssa-982399 du 11 décembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-982399.pdf
- Référence CVE CVE-2018-11457 https://www.cve.org/CVERecord?id=CVE-2018-11457
- Référence CVE CVE-2018-11458 https://www.cve.org/CVERecord?id=CVE-2018-11458
- Référence CVE CVE-2018-11459 https://www.cve.org/CVERecord?id=CVE-2018-11459
- Référence CVE CVE-2018-11460 https://www.cve.org/CVERecord?id=CVE-2018-11460
- Référence CVE CVE-2018-11461 https://www.cve.org/CVERecord?id=CVE-2018-11461
- Référence CVE CVE-2018-11462 https://www.cve.org/CVERecord?id=CVE-2018-11462
- Référence CVE CVE-2018-11463 https://www.cve.org/CVERecord?id=CVE-2018-11463
- Référence CVE CVE-2018-11464 https://www.cve.org/CVERecord?id=CVE-2018-11464
- Référence CVE CVE-2018-11465 https://www.cve.org/CVERecord?id=CVE-2018-11465
- Référence CVE CVE-2018-11466 https://www.cve.org/CVERecord?id=CVE-2018-11466
- Référence CVE CVE-2018-13816 https://www.cve.org/CVERecord?id=CVE-2018-13816
- Référence CVE CVE-2018-6690 https://www.cve.org/CVERecord?id=CVE-2018-6690