Multiples vulnérabilités dans les produits Siemens

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Déni de service à distance
Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)
Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

JT2Go versions antérieures à V14.1.0.4
Parasolid versions antérieures à V34.0.254
Parasolid versions antérieures à V34.1.244
Parasolid versions antérieures à V35.0.184
POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) versions antérieures à V2.50
POWER METER SICAM Q100 (7KG9501-0AA31-2AA1) versions antérieures à V2.50
QMS Automotive toutes versions
RUGGEDCOM ROS toutes versions
SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) toutes versions
SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) toutes versions
SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) toutes versions
SIMATIC Drive Controller family toutes versions
SIMATIC ET 200pro IM154-8 PN/DP CPU (6ES7154-8AB01-0AB0) versions antérieures à V3.2.19
SIMATIC ET 200pro IM154-8F PN/DP CPU (6ES7154-8FB01-0AB0) versions antérieures à V3.2.19
SIMATIC ET 200pro IM154-8FX PN/DP CPU (6ES7154-8FX00-0AB0) versions antérieures à V3.2.19
SIMATIC ET 200S IM151-8 PN/DP CPU (6ES7151-8AB01-0AB0) versions antérieures à V3.2.19
SIMATIC ET 200S IM151-8F PN/DP CPU (6ES7151-8FB01-0AB0) versions antérieures à V3.2.19
SIMATIC PC Station versions antérieures à V2.1
SIMATIC S7-1200 CPU family (incl. SIPLUS variants) toutes versions
SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) toutes versions
SIMATIC S7-1500 Software Controller toutes versions
SIMATIC S7-300 CPU 314C-2 PN/DP (6ES7314-6EH04-0AB0) versions antérieures à V3.3.19
SIMATIC S7-300 CPU 315-2 PN/DP (6ES7315-2EH14-0AB0) versions antérieures à V3.2.19
SIMATIC S7-300 CPU 315F-2 PN/DP (6ES7315-2FJ14-0AB0) versions antérieures à V3.2.19
SIMATIC S7-300 CPU 315T-3 PN/DP (6ES7315-7TJ10-0AB0) versions antérieures à V3.2.19
SIMATIC S7-300 CPU 317-2 PN/DP (6ES7317-2EK14-0AB0) versions antérieures à V3.2.19
SIMATIC S7-300 CPU 317F-2 PN/DP (6ES7317-2FK14-0AB0) versions antérieures à V3.2.19
SIMATIC S7-300 CPU 317T-3 PN/DP (6ES7317-7TK10-0AB0) versions antérieures à V3.2.19
SIMATIC S7-300 CPU 317TF-3 PN/DP (6ES7317-7UL10-0AB0) versions antérieures à V3.2.19
SIMATIC S7-300 CPU 319-3 PN/DP (6ES7318-3EL01-0AB0) versions antérieures à V3.2.19
SIMATIC S7-300 CPU 319F-3 PN/DP (6ES7318-3FL01-0AB0) versions antérieures à V3.2.19
SIMATIC S7-400 PN/DP V6 CPU family (incl. SIPLUS variants) toutes versions
SIMATIC S7-400 PN/DP V7 CPU family (incl. SIPLUS variants) toutes versions
SIMATIC S7-PLCSIM Advanced toutes versions
SIMATIC WinCC Runtime Advanced toutes versions
SINEC NMS versions antérieures à 1.0.3
SINUMERIK MC toutes versions
SINUMERIK ONE toutes versions
SIPLUS ET 200S IM151-8 PN/DP CPU (6AG1151-8AB01-7AB0) versions antérieures à V3.2.19
SIPLUS ET 200S IM151-8F PN/DP CPU (6AG1151-8FB01-2AB0) versions antérieures à V3.2.19
SIPLUS S7-300 CPU 314C-2 PN/DP (6AG1314-6EH04-7AB0) versions antérieures à V3.3.19
SIPLUS S7-300 CPU 315-2 PN/DP (6AG1315-2EH14-7AB0) versions antérieures à V3.2.19
SIPLUS S7-300 CPU 315F-2 PN/DP (6AG1315-2FJ14-2AB0) versions antérieures à V3.2.19
SIPLUS S7-300 CPU 317-2 PN/DP (6AG1317-2EK14-7AB0) versions antérieures à V3.2.19
SIPLUS S7-300 CPU 317F-2 PN/DP (6AG1317-2FK14-2AB0) versions antérieures à V3.2.19
Teamcenter Visualization V13.3 versions antérieures à V13.3.0.7
Teamcenter Visualization V14.0 versions antérieures à V14.0.0.3
Teamcenter Visualization V14.1 versions antérieures à V14.1.0.4

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Siemens 120378 du 8 novembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-120378.html

Bulletin de sécurité Siemens 371761 du 8 novembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-371761.html

Bulletin de sécurité Siemens 478960 du 8 novembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-478960.html

Bulletin de sécurité Siemens 506569 du 8 novembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-506569.html

Bulletin de sécurité Siemens 568428 du 8 novembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-568428.html

Bulletin de sécurité Siemens 570294 du 8 novembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-570294.html

Bulletin de sécurité Siemens 587547 du 8 novembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-587547.html

Bulletin de sécurité Siemens 787941 du 8 novembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-787941.html

Bulletin de sécurité Siemens 853037 du 8 novembre 2022

https://cert-portal.siemens.com/productcert/html/ssa-853037.html

Référence CVE CVE-2002-20001

https://www.cve.org/CVERecord?id=CVE-2002-20001

Référence CVE CVE-2021-42550

https://www.cve.org/CVERecord?id=CVE-2021-42550

Référence CVE CVE-2022-30694

https://www.cve.org/CVERecord?id=CVE-2022-30694

Référence CVE CVE-2022-37885

https://www.cve.org/CVERecord?id=CVE-2022-37885

Référence CVE CVE-2022-37886

https://www.cve.org/CVERecord?id=CVE-2022-37886

Référence CVE CVE-2022-37887

https://www.cve.org/CVERecord?id=CVE-2022-37887

Référence CVE CVE-2022-37888

https://www.cve.org/CVERecord?id=CVE-2022-37888

Référence CVE CVE-2022-37889

https://www.cve.org/CVERecord?id=CVE-2022-37889

Référence CVE CVE-2022-37890

https://www.cve.org/CVERecord?id=CVE-2022-37890

Référence CVE CVE-2022-37891

https://www.cve.org/CVERecord?id=CVE-2022-37891

Référence CVE CVE-2022-37892

https://www.cve.org/CVERecord?id=CVE-2022-37892

Référence CVE CVE-2022-37893

https://www.cve.org/CVERecord?id=CVE-2022-37893

Référence CVE CVE-2022-37894

https://www.cve.org/CVERecord?id=CVE-2022-37894

Référence CVE CVE-2022-37895

https://www.cve.org/CVERecord?id=CVE-2022-37895

Référence CVE CVE-2022-37896

https://www.cve.org/CVERecord?id=CVE-2022-37896

Référence CVE CVE-2022-38465

https://www.cve.org/CVERecord?id=CVE-2022-38465

Référence CVE CVE-2022-39136

https://www.cve.org/CVERecord?id=CVE-2022-39136

Référence CVE CVE-2022-39157

https://www.cve.org/CVERecord?id=CVE-2022-39157

Référence CVE CVE-2022-39158

https://www.cve.org/CVERecord?id=CVE-2022-39158

Référence CVE CVE-2022-41660

https://www.cve.org/CVERecord?id=CVE-2022-41660

Référence CVE CVE-2022-41661

https://www.cve.org/CVERecord?id=CVE-2022-41661

Référence CVE CVE-2022-41662

https://www.cve.org/CVERecord?id=CVE-2022-41662

Référence CVE CVE-2022-41663

https://www.cve.org/CVERecord?id=CVE-2022-41663

Référence CVE CVE-2022-41664

https://www.cve.org/CVERecord?id=CVE-2022-41664

Référence CVE CVE-2022-43397

https://www.cve.org/CVERecord?id=CVE-2022-43397

Référence CVE CVE-2022-43398

https://www.cve.org/CVERecord?id=CVE-2022-43398

Référence CVE CVE-2022-43439

https://www.cve.org/CVERecord?id=CVE-2022-43439

Référence CVE CVE-2022-43545

https://www.cve.org/CVERecord?id=CVE-2022-43545

Référence CVE CVE-2022-43546

https://www.cve.org/CVERecord?id=CVE-2022-43546

Référence CVE CVE-2022-43958

https://www.cve.org/CVERecord?id=CVE-2022-43958

Référence	CERTFR-2022-AVI-1001
Titre	Multiples vulnérabilités dans les produits Siemens
Date de la première version	08 novembre 2022
Date de la dernière version	08 novembre 2022
Source(s)	Bulletin de sécurité Siemens 853037 du 08 novembre 2022
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document