Multiples vulnérabilités dans les produits Siemens

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Déni de service à distance
Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)

Systèmes affectés

Automation License Manager V5
Automation License Manager versions V6 antérieures à V6 SP9 Upd4
De nombreux produits SIMATIC, SIMOTION, SINAMICS, SINUMERIK et SIPLUS (Se référer au bulletin de sécurité de l'éditeur pour les versions affectées)
Development/Evaluation Kits for PROFINET IO: DK Standard Ethernet Controller versions antérieures à V4.1.1 Patch 05
Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200 versions antérieures à V4.5.0 Patch 01
Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200P versions antérieures à V4.5.0
JT Open versions antérieures à V11.1.1.0
JT Open versions antérieures à V13.1.1.0
Mendix SAML (Mendix 8 compatible) versions V2.3.x antérieures à V2.3.4
Mendix SAML (Mendix 9 compatible, New Track) versions V3.3.x antérieures à V3.3.9
Mendix SAML (Mendix 9 compatible, Upgrade Track) versions V3.3.x antérieures à V3.3.8
SCALANCE X-200IRT switch family (incl. SIPLUS NET variants) versions antérieures à V5.4.2
SINEC INS versions antérieures à V1.0 SP2 Update 1
Solid Edge versions antérieures à V2023 MP1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Siemens ssa-332410 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-332410.html

Bulletin de sécurité Siemens ssa-349422 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-349422.html

Bulletin de sécurité Siemens ssa-431678 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-431678.html

Bulletin de sécurité Siemens ssa-476715 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-476715.html

Bulletin de sécurité Siemens ssa-482757 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-482757.html

Bulletin de sécurité Siemens ssa-496604 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-496604.html

Bulletin de sécurité Siemens ssa-592007 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-592007.html

Bulletin de sécurité Siemens ssa-936212 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-936212.html

Bulletin de sécurité Siemens ssa-997779 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-997779.html

Référence CVE CVE-2018-4843

https://www.cve.org/CVERecord?id=CVE-2018-4843

Référence CVE CVE-2019-10923

https://www.cve.org/CVERecord?id=CVE-2019-10923

Référence CVE CVE-2019-13940

https://www.cve.org/CVERecord?id=CVE-2019-13940

Référence CVE CVE-2021-44002

https://www.cve.org/CVERecord?id=CVE-2021-44002

Référence CVE CVE-2021-44014

https://www.cve.org/CVERecord?id=CVE-2021-44014

Référence CVE CVE-2022-1292

https://www.cve.org/CVERecord?id=CVE-2022-1292

Référence CVE CVE-2022-2068

https://www.cve.org/CVERecord?id=CVE-2022-2068

Référence CVE CVE-2022-2097

https://www.cve.org/CVERecord?id=CVE-2022-2097

Référence CVE CVE-2022-2274

https://www.cve.org/CVERecord?id=CVE-2022-2274

Référence CVE CVE-2022-32212

https://www.cve.org/CVERecord?id=CVE-2022-32212

Référence CVE CVE-2022-32213

https://www.cve.org/CVERecord?id=CVE-2022-32213

Référence CVE CVE-2022-32215

https://www.cve.org/CVERecord?id=CVE-2022-32215

Référence CVE CVE-2022-32222

https://www.cve.org/CVERecord?id=CVE-2022-32222

Référence CVE CVE-2022-35255

https://www.cve.org/CVERecord?id=CVE-2022-35255

Référence CVE CVE-2022-35256

https://www.cve.org/CVERecord?id=CVE-2022-35256

Référence CVE CVE-2022-38773

https://www.cve.org/CVERecord?id=CVE-2022-38773

Référence CVE CVE-2022-43513

https://www.cve.org/CVERecord?id=CVE-2022-43513

Référence CVE CVE-2022-43514

https://www.cve.org/CVERecord?id=CVE-2022-43514

Référence CVE CVE-2022-45092

https://www.cve.org/CVERecord?id=CVE-2022-45092

Référence CVE CVE-2022-45093

https://www.cve.org/CVERecord?id=CVE-2022-45093

Référence CVE CVE-2022-45094

https://www.cve.org/CVERecord?id=CVE-2022-45094

Référence CVE CVE-2022-46823

https://www.cve.org/CVERecord?id=CVE-2022-46823

Référence CVE CVE-2022-47935

https://www.cve.org/CVERecord?id=CVE-2022-47935

Référence CVE CVE-2022-47967

https://www.cve.org/CVERecord?id=CVE-2022-47967

Référence	CERTFR-2023-AVI-0015
Titre	Multiples vulnérabilités dans les produits Siemens
Date de la première version	10 janvier 2023
Date de la dernière version	10 janvier 2023
Source(s)	Bulletin de sécurité Siemens ssa-332410 du 10 janvier 2023 Bulletin de sécurité Siemens ssa-349422 du 10 janvier 2023 Bulletin de sécurité Siemens ssa-431678 du 10 janvier 2023 Bulletin de sécurité Siemens ssa-476715 du 10 janvier 2023 Bulletin de sécurité Siemens ssa-482757 du 10 janvier 2023 Bulletin de sécurité Siemens ssa-496604 du 10 janvier 2023 Bulletin de sécurité Siemens ssa-592007 du 10 janvier 2023 Bulletin de sécurité Siemens ssa-936212 du 10 janvier 2023 Bulletin de sécurité Siemens ssa-997779 du 10 janvier 2023
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document