Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service
  • Exécution de code arbitraire
  • Injection de code indirecte à distance (XSS)
  • Élévation de privilèges

Systèmes affectés

  • Control Center Server (CCS) toutes versions
  • LOGO! Soft Comfort toutes versions
  • Nucleus 4 versions antérieures à 4.1.0
  • Nucleus NET versions antérieures à 5.2
  • Nucleus ReadyStart toutes versions
  • Nucleus RTOS versions contenant le module DNS affecté
  • Nucleus Source Code versions contenant le module DNS affecté
  • Opcenter Quality versions antérieures à 12.2
  • QMS Automotive versions antérieures à 12.30
  • SIMATIC NET CP 342-5 (incl. SIPLUS variants) toutes versions
  • SIMATIC NET CP 343-1 Advanced (incl. SIPLUSvariants) versions antérieures à V3.0.44
  • SIMATIC NET CP 343-1 Lean (incl. SIPLUS vari-ants) versions antérieures à V3.1.1
  • SIMATIC NET CP 343-1 Standard (incl. SIPLUSvariants) versions antérieures à V3.1.1
  • SIMATIC NET CP 443-1 Advanced (incl. SIPLUSvariants) versions antérieures à V3.2.9
  • SIMATIC NET CP 443-1 Standard (incl. SIPLUSvariants) versions antérieures à V3.2.9
  • SIMATIC NET CP 443-5 Basic (incl. SIPLUS vari-ants) toutes versions
  • SIMATIC NET CP 443-5 Extended toutes versions
  • SIMOTICS CONNECT 400 toutes verions
  • SINEMA Remote Connect Server versions antérieures à 3.0
  • SiNVR/SiVMS Video Server toutes versions
  • Siveillance Video Open Network Bridge:2018 R2
  • Siveillance Video Open Network Bridge:2018 R3
  • Siveillance Video Open Network Bridge:2019 R1
  • Siveillance Video Open Network Bridge:2019 R2
  • Siveillance Video Open Network Bridge:2019 R3
  • Siveillance Video Open Network Bridge:2020 R1
  • Siveillance Video Open Network Bridge:2020 R2
  • Siveillance Video Open Network Bridge:2020 R3
  • Solid Edge SE2020 toutes versions
  • Solid Edge SE2021 versions antérieures à SE2021MP4
  • Tecnomatix RobotExpert versions antérieures à 16.1
  • TIM 3V-IE / TIM 3V-IE Advanced (incl. SIPLUSNET variants) versions antérieures à V2.6.0
  • TIM 3V-IE DNP3 (incl. SIPLUS NET variants) versions antérieures à V3.1.0
  • TIM 4R-IE (incl. SIPLUS NET variants) toutes versions
  • TIM 4R-IE DNP3 (incl. SIPLUS NET variants) toutes versions
  • VSTAR versions contenant le module DNS affecté

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation