Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • Development/Evaluation Kits for PROFINET IO:DK Standard Ethernet Controller, EK-ERTEC 200 ET EK-ERTEC 200P toutes les versions
  • JT Utilities toutes les versions antérieures à 13.0.2.0
  • JT2Go toutes les versions antérieures à 13.2
  • Les produits Mendix, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits RUGGEDCOM, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits SCALANCE, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits SIMATIC, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits SINAMICS, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits SINUMERIK, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • Les produits Teamcenter, pour plus d'informations veuillez-vous référer aux avis éditeurs
  • PSS CAPE Protection Simulation Platform:CAPE 14 installé avant le 16 juin
  • RWG1.M12 toutes les versions
  • RWG1.M12D toutes les versions
  • RWG1.M8 toutes les versions
  • SICAM 230 toutes les versions
  • SIMIT Simulation Platform toutes les versions
  • SIMOCODE proV Ethernet/IP toutes les versions antérieures à 1.1.3
  • SIMOCODE proV PROFINET toutes les versions antérieures à 2.1.3
  • SINEC INS toutes les versions
  • SINEC NMS:V1.0 SP1, V1.0 SP1 antérieures à version V1.0 SP2
  • SINEC PNI toutes les versions
  • SINEMA Remote Connect Server toutes les versions
  • SINEMA Server V14.0.2.x
  • SOFTNET-IE PNIO toutes les versions
  • Solid Edge SE2021 toutes les versions antérieures à SE2021MP5
  • TIA Administrator toutes les versions
  • TIM 1531 IRC (incl. SIPLUS NET variants) toutes les versions antérieures à 2.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation