S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 25 septembre 2019
N° CERTFR-2019-AVI-463
Affaire suivie par: CERT-FR
le 25 septembre 2019

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Moxa

Gestion du document

Référence CERTFR-2019-AVI-463
Titre Multiples vulnérabilités dans les produits Moxa
Date de la première version 25 septembre 2019
Date de la dernière version 25 septembre 2019
Source(s) Bulletin de sécurité Moxa pt-7528-7828 du 25 septembre 2019
Bulletin de sécurité Moxa iologik-2542 du 25 septembre 2019
Bulletin de sécurité Moxa mb3710-3180-3270-3280-3480-3660 du 25 septembre 2019
Bulletin de sécurité Moxa eds-g516e-510e du 25 septembre 2019
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

  • Séries PT-7528 avec un microgiciel versions 4.0 et antérieures sans le dernier correctif de sécurité
  • Séries PT-7828 avec un microgiciel versions 3.9 et antérieures sans le dernier correctif de sécurité
  • Séries ioLogik 2500 avec un microgiciel versions 3.0 et antérieures sans le dernier correctif de sécurité
  • IOxpress Configuration Utility versions 2.3.0 et antérieures sans le dernier correctif de sécurité
  • Séries MB3170 avec un microgiciel versions 4.0 et antérieures sans le dernier correctif de sécurité
  • Séries MB3270 avec un microgiciel versions 4.0 et antérieures sans le dernier correctif de sécurité
  • Séries MB3180 avec un microgiciel versions 2.0 et antérieures
  • Séries MB3280 avec un microgiciel versions 3.0 et antérieures sans le dernier correctif de sécurité
  • Séries MB3480 avec un microgiciel versions 3.0 et antérieures sans le dernier correctif de sécurité
  • Séries MB3660 avec un microgiciel versions 2.2 et antérieures sans le dernier correctif de sécurité
  • Séries EDS-G516E avec un microgiciel versions 5.2 et antérieures sans le dernier correctif de sécurité
  • Séries EDS-510E avec un microgiciel versions 5.2 et antérieures

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Moxa. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 25 septembre 2019
    Version initiale