Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2019 - AVI - 207

AVIS CERT

CERT-FR

Publié le 14 mai 2019 à 17h41

Objet : Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2019-AVI-207

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SCALANCE W1750D versions antérieures à V8.4.0.1
- SINAMICS PERFECT HARMONY GH180
- SIMATIC PCS 7
- SIMATIC WinCC V7.5 versions antérieures à V7.5 Upd3
- SIMATIC HMI Comfort Panels 4" - 22" versions antérieures à V15.1 Update 1
- SIMATIC HMI Comfort Outdoor Panels 7" & 15" versions antérieures à V15.1 Update 1
- SIMATIC HMI KTP Mobile Panels KTP400F,KTP700, KTP700F, KTP900 et KTP900F versions antérieures à V15.1 Update 1
- SIMATIC WinCC Runtime Advanced versions antérieures à V15.1 Update 1
- SIMATIC WinCC Runtime Professional versions antérieures à V15.1 Update 1
- SIMATIC WinCC (TIA Portal) versions antérieures à V15.1 Update 1
- SIMATIC HMI Classic Devices (TP/MP/OP/MPMobile Panel)
- SISHIP EMCS
- SISHIP IMAC
- SISHIP IPMS
- LOGO! Soft Comfort
- LOGO!8 BM

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens ssa-549547 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-549547.pdf

- Bulletin de sécurité Siemens ssa-606525 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-606525.pdf

- Bulletin de sécurité Siemens ssa-865156 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-865156.pdf

- Bulletin de sécurité Siemens ssa-697412 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-697412.pdf

- Bulletin de sécurité Siemens ssa-804486 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-804486.pdf

- Bulletin de sécurité Siemens ssa-902727 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-902727.pdf

- Bulletin de sécurité Siemens ssa-102144 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-102144.pdf

- Bulletin de sécurité Siemens ssa-542701 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-542701.pdf

- Bulletin de sécurité Siemens ssa-705517 du 14 mai 2019

https://cert-portal.siemens.com/productcert/pdf/ssa-705517.pdf

- Référence CVE CVE-2018-7084

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7084

- Référence CVE CVE-2018-7083

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7083

- Référence CVE CVE-2018-16417

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16417

- Référence CVE CVE-2018-7082

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7082

- Référence CVE CVE-2018-7064

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7064

- Référence CVE CVE-2019-6578

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6578

- Référence CVE CVE-2019-6574

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6574

- Référence CVE CVE-2019-10916

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10916

- Référence CVE CVE-2019-10917

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10917

- Référence CVE CVE-2019-10918

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10918

- Référence CVE CVE-2019-6572

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6572

- Référence CVE CVE-2019-6576

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6576

- Référence CVE CVE-2019-6577

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6577

- Référence CVE CVE-2018-3989

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3989

- Référence CVE CVE-2018-3990

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3990

- Référence CVE CVE-2018-3991

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3991

- Référence CVE CVE-2019-10924

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10924

- Référence CVE CVE-2019-10919

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10919

- Référence CVE CVE-2019-10920

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10920

- Référence CVE CVE-2019-10921

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10921

- Référence CVE CVE-2019-10922

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10922

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-207/