S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 février 2009
N° CERTA-2009-AVI-052
Affaire suivie par: CERT-FR
le 06 février 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités du système SCADA e-terrahabitat d’AREVA

Gestion du document

Référence CERTA-2009-AVI-052
Titre Multiples vulnérabilités du système SCADA e-terrahabitat d’AREVA
Date de la première version 06 février 2009
Date de la dernière version 05 février 2009
Source(s) Bulletin de sécurité de l'US-CERT numéro VU#337569 du 05 février 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • élévation de privilèges.

Systèmes affectés

  • AREVA e-terrahabitat version 5.7 et versions antérieures.

Résumé

De multiples vulnérabilités ont été découvertes dans le système de gestion d'énergie e-terraplatform d'AREVA. L'exploitation de ces vulnérabilités permet de réaliser, entre autre, une exécution de code arbitraire à distance ou un déni de service à distance.

Description

Cinq vulnérabilités ont été découvertes dans le système de gestion d'énergie e-terraplatform d'AREVA :

  • la première permet d'exécuter du code arbitraire à distance via un dépassement de mémoire ;
  • trois autres vulnérabilités présentes au niveau des applications WebFGServer et NETIO permettent de réaliser un déni de service à distance ;
  • la dernière vulnérabilité située au niveau de l'application WebFGServer permet à un utilisateur malveillant d'élever ses privilèges.

Solution

Contacter le support de l'application afin d'obtenir la mise à jour e-terrahabitat_560_P20081030_SEC.patch.

Documentation

Gestion détaillée du document

    le 05 février 2009
    version initiale.