Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2022 - AVI - 814

AVIS CERT

CERT-FR

Publié le 14 septembre 2022 à 17h07

Objet : [SCADA] Multiples vulnérabilités dans les produits SIEMENS

Référence : CERTFR-2022-AVI-814

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- Mendix SAML Module versions 1.17.x antérieures à 1.17.0
- Mendix SAML Module versions 2.3.x antérieures à 2.3.0
- Mendix SAML Module versions 3.3.x antérieures à 3.3.1
- SINEC INS versions antérieures à 1.0 SP2
- CoreShield One-Way Gateway (OWG) Software versions antérieures à 2.2
- Parasolid V33.1 versions 33.1.x antérieures à 33.1.263
- Parasolid V33.1 versions 34.0.x antérieures à 34.0.252
- Parasolid V33.1 versions 34.1.x antérieures à 34.1.242
- Parasolid V35.0 versions 35.0.x antérieures à 35.0.164
- Simcenter Femap V2022.1 versions antérieures à V2022.1.3
- Simcenter Femap V2022.2 versions antérieures à V2022.2.2
- RUGGEDCOM ROS RMC8388 versions antérieures à 5.6.0
- RUGGEDCOM ROS RS416Pv2 versions antérieures à 5.6.0
- RUGGEDCOM ROS RS416v2 versions antérieures à 5.6.0
- RUGGEDCOM ROS RS900 (32M) versions antérieures à 5.6.0
- RUGGEDCOM ROS RS900G (32M) versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG907R versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG908C versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG909R versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG910C versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG920P versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG2100 (32M) versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG2288 versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG2300 versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG2300P versions antérieures à 5.6.0
- RUGGEDCOM ROS RSG2488 versions antérieures à 5.6.0
- RUGGEDCOM ROS RSL910 versions antérieures à 5.6.0
- RUGGEDCOM ROS RST916C versions antérieures à 5.6.0
- RUGGEDCOM ROS RST916P versions antérieures à 5.6.0
- RUGGEDCOM ROS RST2228 versions antérieures à 5.6.0
- RUGGEDCOM ROS RST2228P versions antérieures à 5.6.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SIEMENS. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens ssa-638652 du 13 septembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-638652.html

- Bulletin de sécurité Siemens ssa-637483 du 13 septembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-637483.html

- Bulletin de sécurité Siemens ssa-589975 du 13 septembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-589975.html

- Bulletin de sécurité Siemens ssa-518824 du 13 septembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-518824.html

- Bulletin de sécurité Siemens ssa-459643 du 13 septembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-459643.html

- Référence CVE CVE-2022-37011

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37011

- Référence CVE CVE-2020-7793

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7793

- Référence CVE CVE-2020-12762

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12762

- Référence CVE CVE-2020-28168

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28168

- Référence CVE CVE-2020-28500

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28500

- Référence CVE CVE-2021-3749

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3749

- Référence CVE CVE-2021-4160

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4160

- Référence CVE CVE-2016-0701

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701

- Référence CVE CVE-2021-23337

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23337

- Référence CVE CVE-2021-23839

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23839

- Référence CVE CVE-2021-23841

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23841

- Référence CVE CVE-2021-25217

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25217

- Référence CVE CVE-2021-25220

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25220

- Référence CVE CVE-2022-0155

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0155

- Référence CVE CVE-2022-0235

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0235

- Référence CVE CVE-2022-0396

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0396

- Référence CVE CVE-2022-38466

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38466

- Référence CVE CVE-2022-39142

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39142

- Référence CVE CVE-2022-39143

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39143

- Référence CVE CVE-2022-39144

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39144

- Référence CVE CVE-2022-39145

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39145

- Référence CVE CVE-2022-39146

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39146

- Référence CVE CVE-2022-39147

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39147

- Référence CVE CVE-2022-39148

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39148

- Référence CVE CVE-2022-39149

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39149

- Référence CVE CVE-2022-39150

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39150

- Référence CVE CVE-2022-39151

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39151

- Référence CVE CVE-2022-39152

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39152

- Référence CVE CVE-2022-39153

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39153

- Référence CVE CVE-2022-39154

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39154

- Référence CVE CVE-2022-39155

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39155

- Référence CVE CVE-2022-39156

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39156

- Référence CVE CVE-2022-39137

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39137

- Référence CVE CVE-2022-39138

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39138

- Référence CVE CVE-2022-39139

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39139

- Référence CVE CVE-2022-39140

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39140

- Référence CVE CVE-2022-39141

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39141

- Référence CVE CVE-2022-39158

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39158

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-814/