Multiples vulnérabilités dans les produits Schneider Electric

Risques

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)

Systèmes affectés

EcoStruxure Power Monitoring Expert version 8.2 sans le dernier correctif de sécurité
EcoStruxure Power Monitoring Expert versions antérieures à PME 9.0 CU2
Modicon BMENOC 0311
Modicon BMENOC 0321
Modicon BMxCRA et les modules 140CRA
Modicon M340
Modicon M580
Modicon Premium
Modicon Quantum
SoMove FDT versions v2.7.5 et antérieures

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric SEVD-2018-327-01 du 08 octobre 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2018-327-01-Embedded-Web-Servers-Modicon+V3.0.pdf&p_Doc_Ref=SEVD-2018-327-01

Bulletin de sécurité Schneider Electric SEVD-2019-134-04 du 08 octobre 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-134-04-Floating-License-Manager-Update_V2.1.pdf&p_Doc_Ref=SEVD-2019-134-04

Bulletin de sécurité Schneider Electric SEVD-2019-225-04 du 08 octobre 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-225-04_SoMachine_SoMove_V2.0.pdf&p_Doc_Ref=SEVD-2019-225-04

Bulletin de sécurité Schneider Electric SEVD-2019-281-01 du 08 octobre 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-281-01_Modicon_Controllers.pdf&p_Doc_Ref=SEVD-2019-281-01

Bulletin de sécurité Schneider Electric SEVD-2019-281-02 du 08 octobre 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-281-02_Modicon_Controllers.pdf&p_Doc_Ref=SEVD-2019-281-02

Bulletin de sécurité Schneider Electric SEVD-2019-281-03 du 08 octobre 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-281-03_Modicon_Controllers.pdf&p_Doc_Ref=SEVD-2019-281-03

Bulletin de sécurité Schneider Electric SEVD-2019-281-04 du 08 octobre 2019

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-281-04_Modicon_Controllers.pdf&p_Doc_Ref=SEVD-2019-281-04

Référence CVE CVE-2018-20031

https://www.cve.org/CVERecord?id=CVE-2018-20031

Référence CVE CVE-2018-20032

https://www.cve.org/CVERecord?id=CVE-2018-20032

Référence CVE CVE-2018-20033

https://www.cve.org/CVERecord?id=CVE-2018-20033

Référence CVE CVE-2018-20034

https://www.cve.org/CVERecord?id=CVE-2018-20034

Référence CVE CVE-2018-7804

https://www.cve.org/CVERecord?id=CVE-2018-7804

Référence CVE CVE-2018-7809

https://www.cve.org/CVERecord?id=CVE-2018-7809

Référence CVE CVE-2018-7810

https://www.cve.org/CVERecord?id=CVE-2018-7810

Référence CVE CVE-2018-7811

https://www.cve.org/CVERecord?id=CVE-2018-7811

Référence CVE CVE-2018-7812

https://www.cve.org/CVERecord?id=CVE-2018-7812

Référence CVE CVE-2018-7830

https://www.cve.org/CVERecord?id=CVE-2018-7830

Référence CVE CVE-2018-7831

https://www.cve.org/CVERecord?id=CVE-2018-7831

Référence CVE CVE-2018-7833

https://www.cve.org/CVERecord?id=CVE-2018-7833

Référence CVE CVE-2019-6826

https://www.cve.org/CVERecord?id=CVE-2019-6826

Référence CVE CVE-2019-6841

https://www.cve.org/CVERecord?id=CVE-2019-6841

Référence CVE CVE-2019-6842

https://www.cve.org/CVERecord?id=CVE-2019-6842

Référence CVE CVE-2019-6843

https://www.cve.org/CVERecord?id=CVE-2019-6843

Référence CVE CVE-2019-6844

https://www.cve.org/CVERecord?id=CVE-2019-6844

Référence CVE CVE-2019-6845

https://www.cve.org/CVERecord?id=CVE-2019-6845

Référence CVE CVE-2019-6846

https://www.cve.org/CVERecord?id=CVE-2019-6846

Référence CVE CVE-2019-6847

https://www.cve.org/CVERecord?id=CVE-2019-6847

Référence CVE CVE-2019-6848

https://www.cve.org/CVERecord?id=CVE-2019-6848

Référence CVE CVE-2019-6849

https://www.cve.org/CVERecord?id=CVE-2019-6849

Référence CVE CVE-2019-6850

https://www.cve.org/CVERecord?id=CVE-2019-6850

Référence CVE CVE-2019-6851

https://www.cve.org/CVERecord?id=CVE-2019-6851

Référence	CERTFR-2019-AVI-488
Titre	Multiples vulnérabilités dans les produits Schneider Electric
Date de la première version	08 octobre 2019
Date de la dernière version	08 octobre 2019
Source(s)	Bulletin de sécurité Schneider Electric SEVD-2018-327-01 du 08 octobre 2019 Bulletin de sécurité Schneider Electric SEVD-2019-134-04 du 08 octobre 2019 Bulletin de sécurité Schneider Electric SEVD-2019-225-04 du 08 octobre 2019 Bulletin de sécurité Schneider Electric SEVD-2019-281-01 du 08 octobre 2019 Bulletin de sécurité Schneider Electric SEVD-2019-281-02 du 08 octobre 2019 Bulletin de sécurité Schneider Electric SEVD-2019-281-03 du 08 octobre 2019 Bulletin de sécurité Schneider Electric SEVD-2019-281-04 du 08 octobre 2019
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Schneider Electric

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document