Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- Magelis HMIGTO series
- Magelis HMISTO series
- Magelis XBTGH series
- Magelis HMIGTU series
- Magelis HMIGTUX series
- Magelis HMISCU series
- Magelis HMISTU series
- Magelis XBTGT series
- Magelis XBTGC series
- Magelis HMIGXO series
- Magelis HMIGXU series
- BMXNOR0200H Ethernet / Serial RTU module
- TelevisGO versions produites avant le 15 juillet 2019 et utilisant une version de UltraVNC, 1.0.9.6.1 et antérieure, sans le correctif de sécurité TelevisGo_HotFix_20190715.exe
- Schneider Electric Software Update (SESU) SUT Service component versions antérieures à 2.3.1
- spaceLYnk versions antérieures à 2.4.0
- Wiser for KNX (anciennement homeLYnk) versions antérieures à 2.4.0
- Modicon M580 versions antérieures à V2.90
- Modicon M340 versions antérieures à V3.10
- Modicon Quantum
- Modicon Premium
- EcoStruxure Machine Expert HVAC (anciennement SoMachine HVAC) versions antérieures à 1.1.0
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2019-225-01 du 13 août 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-01-Magelis_Security_Notification.pdf&p_Doc_Ref=SEVD-2019-225-01 - Bulletin de sécurité Schneider Electric SEVD-2019-225-02 du 13 août 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-02-Modicon_M340_Controllers_Security_Notification.pdf&p_Doc_Ref=SEVD-2019-225-02 - Bulletin de sécurité Schneider Electric SEVD-2019-225-03 du 13 août 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-03-Modicon-Ethernet+-Serial-RTU-Module-Security_Notification.pdf&p_Doc_Ref=SEVD-2019-225-03 - Bulletin de sécurité Schneider Electric SEVD-2019-225-05 du 13 août 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-05-TelevisGO_Security_Notification.pdf&p_Doc_Ref=SEVD-2019-225-05 - Bulletin de sécurité Schneider Electric SEVD-2019-225-06 du 13 août 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-06-SESU_SUT_Service.pdf&p_Doc_Ref=SEVD-2019-225-06 - Bulletin de sécurité Schneider Electric SEVD-2019-225-07 du 13 août 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-07-spaceLYnk-homeLYnk.pdf&p_Doc_Ref=SEVD-2019-225-07 - Bulletin de sécurité Schneider Electric SEVD-2019-134-11 du 13 août 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-11-V2-Modicon-Controllers.pdf&p_Doc_Ref=SEVD-2019-134-11 - Bulletin de sécurité Schneider Electric SEVD-2019-225-04 du 13 août 2019
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-04_SoMachine_HVAC_Security_Notification.pdf&p_Doc_Ref=SEVD-2019-225-04 - Référence CVE CVE-2018-7846
https://www.cve.org/CVERecord?id=CVE-2018-7846 - Référence CVE CVE-2018-7849
https://www.cve.org/CVERecord?id=CVE-2018-7849 - Référence CVE CVE-2018-7843
https://www.cve.org/CVERecord?id=CVE-2018-7843 - Référence CVE CVE-2018-7848
https://www.cve.org/CVERecord?id=CVE-2018-7848 - Référence CVE CVE-2018-7842
https://www.cve.org/CVERecord?id=CVE-2018-7842 - Référence CVE CVE-2018-7847
https://www.cve.org/CVERecord?id=CVE-2018-7847 - Référence CVE CVE-2018-7850
https://www.cve.org/CVERecord?id=CVE-2018-7850 - Référence CVE CVE-2018-7845
https://www.cve.org/CVERecord?id=CVE-2018-7845 - Référence CVE CVE-2018-7852
https://www.cve.org/CVERecord?id=CVE-2018-7852 - Référence CVE CVE-2018-7853
https://www.cve.org/CVERecord?id=CVE-2018-7853 - Référence CVE CVE-2018-7854
https://www.cve.org/CVERecord?id=CVE-2018-7854 - Référence CVE CVE-2018-7855
https://www.cve.org/CVERecord?id=CVE-2018-7855 - Référence CVE CVE-2018-7856
https://www.cve.org/CVERecord?id=CVE-2018-7856 - Référence CVE CVE-2018-7857
https://www.cve.org/CVERecord?id=CVE-2018-7857 - Référence CVE CVE-2019-68067
https://www.cve.org/CVERecord?id=CVE-2019-68067 - Référence CVE CVE-2019-68077
https://www.cve.org/CVERecord?id=CVE-2019-68077 - Référence CVE CVE-2019-6808
https://www.cve.org/CVERecord?id=CVE-2019-6808 - Référence CVE CVE-2018-7844
https://www.cve.org/CVERecord?id=CVE-2018-7844 - Référence CVE CVE-2019-6830
https://www.cve.org/CVERecord?id=CVE-2019-6830 - Référence CVE CVE-2019-6828
https://www.cve.org/CVERecord?id=CVE-2019-6828 - Référence CVE CVE-2019-6829
https://www.cve.org/CVERecord?id=CVE-2019-6829 - Référence CVE CVE-2019-6809
https://www.cve.org/CVERecord?id=CVE-2019-6809 - Référence CVE CVE-2019-6832
https://www.cve.org/CVERecord?id=CVE-2019-6832 - Référence CVE CVE-2019-6834
https://www.cve.org/CVERecord?id=CVE-2019-6834 - Référence CVE CVE-2019-8258
https://www.cve.org/CVERecord?id=CVE-2019-8258 - Référence CVE CVE-2018-15361
https://www.cve.org/CVERecord?id=CVE-2018-15361 - Référence CVE CVE-2019-8259
https://www.cve.org/CVERecord?id=CVE-2019-8259 - Référence CVE CVE-2019-8260
https://www.cve.org/CVERecord?id=CVE-2019-8260 - Référence CVE CVE-2019-8261
https://www.cve.org/CVERecord?id=CVE-2019-8261 - Référence CVE CVE-2019-8262
https://www.cve.org/CVERecord?id=CVE-2019-8262 - Référence CVE CVE-2019-8280
https://www.cve.org/CVERecord?id=CVE-2019-8280 - Référence CVE CVE-2019-8263
https://www.cve.org/CVERecord?id=CVE-2019-8263 - Référence CVE CVE-2019-8264
https://www.cve.org/CVERecord?id=CVE-2019-8264 - Référence CVE CVE-2019-8265
https://www.cve.org/CVERecord?id=CVE-2019-8265 - Référence CVE CVE-2019-8266
https://www.cve.org/CVERecord?id=CVE-2019-8266 - Référence CVE CVE-2019-8267
https://www.cve.org/CVERecord?id=CVE-2019-8267 - Référence CVE CVE-2019-8268
https://www.cve.org/CVERecord?id=CVE-2019-8268 - Référence CVE CVE-2019-8269
https://www.cve.org/CVERecord?id=CVE-2019-8269 - Référence CVE CVE-2019-8270
https://www.cve.org/CVERecord?id=CVE-2019-8270 - Référence CVE CVE-2019-8271
https://www.cve.org/CVERecord?id=CVE-2019-8271 - Référence CVE CVE-2019-8272
https://www.cve.org/CVERecord?id=CVE-2019-8272 - Référence CVE CVE-2019-8273
https://www.cve.org/CVERecord?id=CVE-2019-8273 - Référence CVE CVE-2019-8274
https://www.cve.org/CVERecord?id=CVE-2019-8274 - Référence CVE CVE-2019-8275
https://www.cve.org/CVERecord?id=CVE-2019-8275 - Référence CVE CVE-2019-8276
https://www.cve.org/CVERecord?id=CVE-2019-8276 - Référence CVE CVE-2019-8277
https://www.cve.org/CVERecord?id=CVE-2019-8277 - Référence CVE CVE-2019-6813
https://www.cve.org/CVERecord?id=CVE-2019-6813 - Référence CVE CVE-2019-6831
https://www.cve.org/CVERecord?id=CVE-2019-6831 - Référence CVE CVE-2019-6810
https://www.cve.org/CVERecord?id=CVE-2019-6810 - Référence CVE CVE-2019-6833
https://www.cve.org/CVERecord?id=CVE-2019-6833 - Référence CVE CVE-2019-6826
https://www.cve.org/CVERecord?id=CVE-2019-6826