Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- SIPROTEC 5 avec CP200 et CP300 toutes versions
- SIPROTEC 5 avec CP300 et CP100 versions antérieures à V7.91
Résumé
De multiples vulnérabilités ont été découvertes dans Siemens SIPROTEC 5. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens ssa-632562 du 02 août 2019 https://cert-portal.siemens.com/productcert/pdf/ssa-632562.pdf
- Référence CVE CVE-2019-10938 https://www.cve.org/CVERecord?id=CVE-2019-10938
- Référence CVE CVE-2019-12255 https://www.cve.org/CVERecord?id=CVE-2019-12255
- Référence CVE CVE-2019-12256 https://www.cve.org/CVERecord?id=CVE-2019-12256
- Référence CVE CVE-2019-12257 https://www.cve.org/CVERecord?id=CVE-2019-12257
- Référence CVE CVE-2019-12258 https://www.cve.org/CVERecord?id=CVE-2019-12258
- Référence CVE CVE-2019-12259 https://www.cve.org/CVERecord?id=CVE-2019-12259
- Référence CVE CVE-2019-12260 https://www.cve.org/CVERecord?id=CVE-2019-12260
- Référence CVE CVE-2019-12261 https://www.cve.org/CVERecord?id=CVE-2019-12261
- Référence CVE CVE-2019-12262 https://www.cve.org/CVERecord?id=CVE-2019-12262
- Référence CVE CVE-2019-12263 https://www.cve.org/CVERecord?id=CVE-2019-12263
- Référence CVE CVE-2019-12264 https://www.cve.org/CVERecord?id=CVE-2019-12264
- Référence CVE CVE-2019-12265 https://www.cve.org/CVERecord?id=CVE-2019-12265
