Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- Modicon M221 microgiciel versions antérieures à v1.10.0.0
- EcoStruxure Machine Expert –Basic versions antérieures à v 1.0 (anciennement SoMachine Basic)
- Vijeo Designer Lite V1.3SP1
- microgiciels versions antérieures à 2.2.3.0 pour Sarix Enhanced
- microgiciels versions antérieures à 2.11 pour Spectra Enhanced
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric . Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2019-045-01 du 14 février 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-045-01-SoMachineBasic+M221.pdf&p_Doc_Ref=SEVD-2019-045-01 - Bulletin de sécurité Schneider Electric SEVD-2019-045-02 du 14 février 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-045-02-Vijeo-Designer-Lite.pdf&p_Doc_Ref=SEVD-2019-045-02 - Bulletin de sécurité Schneider Electric SEVD-2019-045-03 du 14 février 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-045-03-PelcoSarix-SpectraCameras.pdf&p_Doc_Ref=SEVD-2019-045-03 - Référence CVE CVE-2018-78217
https://www.cve.org/CVERecord?id=CVE-2018-78217 - Référence CVE CVE-2018-78227
https://www.cve.org/CVERecord?id=CVE-2018-78227 - Référence CVE CVE-2018-78235
https://www.cve.org/CVERecord?id=CVE-2018-78235 - Référence CVE CVE-2018-78167
https://www.cve.org/CVERecord?id=CVE-2018-78167 - Référence CVE CVE-2018-78258
https://www.cve.org/CVERecord?id=CVE-2018-78258 - Référence CVE CVE-2018-78268
https://www.cve.org/CVERecord?id=CVE-2018-78268 - Référence CVE CVE-2018-78278
https://www.cve.org/CVERecord?id=CVE-2018-78278 - Référence CVE CVE-2018-78288
https://www.cve.org/CVERecord?id=CVE-2018-78288 - Référence CVE CVE-2018-7829
https://www.cve.org/CVERecord?id=CVE-2018-7829