Vulnérabilité dans le système SCADA Honeywell HMIWeb

Gestion du document

Référence	CERTA-2012-AVI-492
Titre	Vulnérabilité dans le système SCADA Honeywell HMIWeb
Date de la première version	10 septembre 2012
Date de la dernière version	10 septembre 2012
Source(s)	Bulletin de sécurité ICS-CERT ICSA-12-250-01 du 07 septembre 2012

Risque

Exécution de code arbitraire à distance

Systèmes affectés

Honeywell Building Solutions Entreprise Building Management ;
Honeywell Process Solutions Experion R2xx ;
Honeywell Process Solutions Experion R30x ;
Honeywell Process Solutions Experion R31x ;
Honeywell Process Solutions Experion R400.x ;
Honeywell R400 ;
Honeywell R410.1 ;
Honeywell SymmetrE R410.1.

Résumé

Une vulnérabilité a été corrigée dans Honeywell. Elle concerne un débordement de mémoire tampon dans l'ActiveX HSCDSPRenderDLL et peut mener un utilisateur malintentionné à exécuter du code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité ICS-CERT ICSA-12-150-01 du 05 septembre 2012 :

http://www.us-cert.gov/control_systems/pdf/ICSA-12-150-01.pdf

Descriptif de vulnérabilité Honeywell, document « SN 2012 03 09 01A » :

http://www.honeywellprocess.com

Référence CVE CVE-2012-0254

https://www.cve.org/CVERecord?id=CVE-2012-0254

Avis du CERT-FR

Objet: Vulnérabilité dans le système SCADA Honeywell HMIWeb