Multiples vulnérabilités dans les produits Siemens

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Déni de service à distance
Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)
Élévation de privilèges

Systèmes affectés

LOGO! Soft Comfort
LOGO!8 BM
SCALANCE W1750D versions antérieures à V8.4.0.1
SIMATIC HMI Classic Devices (TP/MP/OP/MPMobile Panel)
SIMATIC HMI Comfort Outdoor Panels 7" & 15" versions antérieures à V15.1 Update 1
SIMATIC HMI Comfort Panels 4" - 22" versions antérieures à V15.1 Update 1
SIMATIC HMI KTP Mobile Panels KTP400F,KTP700, KTP700F, KTP900 et KTP900F versions antérieures à V15.1 Update 1
SIMATIC PCS 7
SIMATIC WinCC (TIA Portal) versions antérieures à V15.1 Update 1
SIMATIC WinCC Runtime Advanced versions antérieures à V15.1 Update 1
SIMATIC WinCC Runtime Professional versions antérieures à V15.1 Update 1
SIMATIC WinCC V7.5 versions antérieures à V7.5 Upd3
SINAMICS PERFECT HARMONY GH180
SISHIP EMCS
SISHIP IMAC
SISHIP IPMS

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Siemens ssa-102144 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-102144.pdf

Bulletin de sécurité Siemens ssa-542701 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-542701.pdf

Bulletin de sécurité Siemens ssa-549547 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-549547.pdf

Bulletin de sécurité Siemens ssa-606525 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-606525.pdf

Bulletin de sécurité Siemens ssa-697412 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-697412.pdf

Bulletin de sécurité Siemens ssa-705517 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-705517.pdf

Bulletin de sécurité Siemens ssa-804486 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-804486.pdf

Bulletin de sécurité Siemens ssa-865156 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-865156.pdf

Bulletin de sécurité Siemens ssa-902727 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-902727.pdf

Référence CVE CVE-2018-16417

https://www.cve.org/CVERecord?id=CVE-2018-16417

Référence CVE CVE-2018-3989

https://www.cve.org/CVERecord?id=CVE-2018-3989

Référence CVE CVE-2018-3990

https://www.cve.org/CVERecord?id=CVE-2018-3990

Référence CVE CVE-2018-3991

https://www.cve.org/CVERecord?id=CVE-2018-3991

Référence CVE CVE-2018-7064

https://www.cve.org/CVERecord?id=CVE-2018-7064

Référence CVE CVE-2018-7082

https://www.cve.org/CVERecord?id=CVE-2018-7082

Référence CVE CVE-2018-7083

https://www.cve.org/CVERecord?id=CVE-2018-7083

Référence CVE CVE-2018-7084

https://www.cve.org/CVERecord?id=CVE-2018-7084

Référence CVE CVE-2019-10916

https://www.cve.org/CVERecord?id=CVE-2019-10916

Référence CVE CVE-2019-10917

https://www.cve.org/CVERecord?id=CVE-2019-10917

Référence CVE CVE-2019-10918

https://www.cve.org/CVERecord?id=CVE-2019-10918

Référence CVE CVE-2019-10919

https://www.cve.org/CVERecord?id=CVE-2019-10919

Référence CVE CVE-2019-10920

https://www.cve.org/CVERecord?id=CVE-2019-10920

Référence CVE CVE-2019-10921

https://www.cve.org/CVERecord?id=CVE-2019-10921

Référence CVE CVE-2019-10922

https://www.cve.org/CVERecord?id=CVE-2019-10922

Référence CVE CVE-2019-10924

https://www.cve.org/CVERecord?id=CVE-2019-10924

Référence CVE CVE-2019-6572

https://www.cve.org/CVERecord?id=CVE-2019-6572

Référence CVE CVE-2019-6574

https://www.cve.org/CVERecord?id=CVE-2019-6574

Référence CVE CVE-2019-6576

https://www.cve.org/CVERecord?id=CVE-2019-6576

Référence CVE CVE-2019-6577

https://www.cve.org/CVERecord?id=CVE-2019-6577

Référence CVE CVE-2019-6578

https://www.cve.org/CVERecord?id=CVE-2019-6578

Référence	CERTFR-2019-AVI-207
Titre	Multiples vulnérabilités dans les produits Siemens
Date de la première version	14 mai 2019
Date de la dernière version	15 mai 2019
Source(s)	Bulletin de sécurité Siemens ssa-102144 du 14 mai 2019 Bulletin de sécurité Siemens ssa-542701 du 14 mai 2019 Bulletin de sécurité Siemens ssa-549547 du 14 mai 2019 Bulletin de sécurité Siemens ssa-606525 du 14 mai 2019 Bulletin de sécurité Siemens ssa-697412 du 14 mai 2019 Bulletin de sécurité Siemens ssa-705517 du 14 mai 2019 Bulletin de sécurité Siemens ssa-804486 du 14 mai 2019 Bulletin de sécurité Siemens ssa-865156 du 14 mai 2019 Bulletin de sécurité Siemens ssa-902727 du 14 mai 2019

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document