S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 juillet 2020
N° CERTFR-2020-AVI-446
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Schneider

Gestion du document

Référence CERTFR-2020-AVI-446
Titre Multiples vulnérabilités dans les produits Schneider
Date de la première version17 juillet 2020
Date de la dernière version20 juillet 2020
Source(s) Bulletin de sécurité Schneider SEVD-2020-196-01 du 10 juillet 2020
Bulletin de sécurité Schneider SEVD-2020-196-02 du 10 juillet 2020

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire

Systèmes affectés

  • Schneider Electric Software Update (SESU) versions antérieures à V2.5.0
  • Schneider Electric Floating License Manager versions antérieures à V2.5.0.0

 

SESU est notamment utilisé dans :

  • EcoStruxure Augmented Operator Advisor
  • EcoStruxure Control Expert (anciennement Unity Pro)
  • EcoStruxure Hybrid Distributed Control System (DCS)
  • EcoStruxure Machine Expert (anciennement SoMachine)
  • EcoStruxure Machine Expert Basic
  • EcoStruxure Operator Terminal Expert
  • Eurotherm Data Reviewer
  • Eurotherm iTools
  • eXLhoist Configuration Software
  • Schneider Electric Floating License Manager
  • Schneider Electric License Manager
  • Harmony XB5SSoft
  • SoMachine Motion
  • SoMove
  • Versatile Software BLUE
  • Vijeo Designer
  • OsiSense XX Configuration Software
  • Zelio Soft 2

Schneider Electric Floating License Manager est utilisé dans :

  • EcoStruxure Control Expert (avec licence flottante)
  • EcoStruxure Control Expert - Asset Link (avec licence flottante)
  • EcoStruxure Hybrid Distributed Control System (DCS) (anciennement PlantStruxure PES)
  • EcoStruxure Machine Expert (anciennement SoMachine) (avec licence flottante)
  • EcoStruxure Machine Expert – Safety (avec licence flottante)
  • Facility Expert Online
  • EcoStruxure Power Monitoring Expert
  • EcoStruxure Power SCADA Operation (anciennement PowerSCADA Expert et PowerLogic SCADA)
  • SoMachine Motion (avec licence flottante)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 17 juillet 2020
    Version initiale
    le 20 juillet 2020
    Correction de l'année des cves CVE-2019-8960 et CVE-2019-8961