Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- IDS 1.0 versions 1.0 et 2.0
- PowerSuite version 2.5
- SESU version 1.0.x
- SESU version 1.1.x
- Smart Widget Acti 9 version 1.0.0.0
- Smart Widget H8035 version 1.0.0.0
- Smart Widget H8036 version 1.0.0.0
- Smart Widget PM210 version 1.0.0.0
- Smart Widget PM710 version 1.0.0.0
- Smart Widget PM750 version 1.0.0.0
- SoMachine version 1.2.1
- Spacial.pro version 1.0.0.x
- Unity Pro versions 4.1 L, M, S, XL, XLS
- Unity Pro versions 5.0 L, M, S, XL
- Unity Pro versions 6.0 L, M. S, XL
- Unity Pro versions 6.1 L, M,S, XL
- Vijeo Designer Opti version 5.0.0.x
- Vijeo Designer Opti version 5.1.0.x
- Vijeo Designer Opti version 6.0.x
- Vijeo Designer version 5.0.0.x
- Vijeo Designer version 5.1.0.x
- Vijeo Designer version 6.0.x
- Vijeo Designer version 6.1.0.x
- Web Gate Client Files version 5.1.x
Résumé
Une vulnérabilité a été corrigée dans de nombreux produits SCADA Schneider Electric. Elle concerne le système de mise à jour, celui-ci ne vérifie pas la signature des éléments reçu. Un utilisateur malintentionné peut, dans le cadres d'une attaque par « homme du milieu », envoyer ses propres fichiers et ainsi exécuter du code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SEVD-2013-009-01 du 09 janvier 2013 http://download.schneider-electric.com/files?p_File_Id=29960974&p_File_Name=SEVD-2013-009-01.pdf
