Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SINEC INS versions antérieures à V1.0 SP2 Update 1
- Development/Evaluation Kits for PROFINET IO: DK Standard Ethernet Controller versions antérieures à V4.1.1 Patch 05
- Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200 versions antérieures à V4.5.0 Patch 01
- Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200P versions antérieures à V4.5.0
- SCALANCE X-200IRT switch family (incl. SIPLUS NET variants) versions antérieures à V5.4.2
- De nombreux produits SIMATIC, SIMOTION, SINAMICS, SINUMERIK et SIPLUS (Se référer au bulletin de sécurité de l'éditeur pour les versions affectées)
- Automation License Manager V5
- Automation License Manager versions V6 antérieures à V6 SP9 Upd4
- Mendix SAML (Mendix 8 compatible) versions V2.3.x antérieures à V2.3.4
- Mendix SAML (Mendix 9 compatible, New Track) versions V3.3.x antérieures à V3.3.9
- Mendix SAML (Mendix 9 compatible, Upgrade Track) versions V3.3.x antérieures à V3.3.8
- JT Open versions antérieures à V11.1.1.0
- JT Open versions antérieures à V13.1.1.0
- Solid Edge versions antérieures à V2023 MP1
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens ssa-332410 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-332410.html - Bulletin de sécurité Siemens ssa-349422 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-349422.html - Bulletin de sécurité Siemens ssa-431678 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-431678.html - Bulletin de sécurité Siemens ssa-476715 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-476715.html - Bulletin de sécurité Siemens ssa-482757 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-482757.html - Bulletin de sécurité Siemens ssa-496604 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-496604.html - Bulletin de sécurité Siemens ssa-592007 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-592007.html - Bulletin de sécurité Siemens ssa-936212 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-936212.html - Bulletin de sécurité Siemens ssa-997779 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-997779.html - Référence CVE CVE-2022-2068
https://www.cve.org/CVERecord?id=CVE-2022-2068 - Référence CVE CVE-2022-1292
https://www.cve.org/CVERecord?id=CVE-2022-1292 - Référence CVE CVE-2022-2097
https://www.cve.org/CVERecord?id=CVE-2022-2097 - Référence CVE CVE-2022-2274
https://www.cve.org/CVERecord?id=CVE-2022-2274 - Référence CVE CVE-2022-32212
https://www.cve.org/CVERecord?id=CVE-2022-32212 - Référence CVE CVE-2022-32213
https://www.cve.org/CVERecord?id=CVE-2022-32213 - Référence CVE CVE-2022-32215
https://www.cve.org/CVERecord?id=CVE-2022-32215 - Référence CVE CVE-2022-32222
https://www.cve.org/CVERecord?id=CVE-2022-32222 - Référence CVE CVE-2022-35255
https://www.cve.org/CVERecord?id=CVE-2022-35255 - Référence CVE CVE-2022-35256
https://www.cve.org/CVERecord?id=CVE-2022-35256 - Référence CVE CVE-2022-45092
https://www.cve.org/CVERecord?id=CVE-2022-45092 - Référence CVE CVE-2022-45093
https://www.cve.org/CVERecord?id=CVE-2022-45093 - Référence CVE CVE-2022-45094
https://www.cve.org/CVERecord?id=CVE-2022-45094 - Référence CVE CVE-2019-10923
https://www.cve.org/CVERecord?id=CVE-2019-10923 - Référence CVE CVE-2019-13940
https://www.cve.org/CVERecord?id=CVE-2019-13940 - Référence CVE CVE-2022-43513
https://www.cve.org/CVERecord?id=CVE-2022-43513 - Référence CVE CVE-2022-43514
https://www.cve.org/CVERecord?id=CVE-2022-43514 - Référence CVE CVE-2022-38773
https://www.cve.org/CVERecord?id=CVE-2022-38773 - Référence CVE CVE-2022-46823
https://www.cve.org/CVERecord?id=CVE-2022-46823 - Référence CVE CVE-2018-4843
https://www.cve.org/CVERecord?id=CVE-2018-4843 - Référence CVE CVE-2021-44002
https://www.cve.org/CVERecord?id=CVE-2021-44002 - Référence CVE CVE-2021-44014
https://www.cve.org/CVERecord?id=CVE-2021-44014 - Référence CVE CVE-2022-47935
https://www.cve.org/CVERecord?id=CVE-2022-47935 - Référence CVE CVE-2022-47967
https://www.cve.org/CVERecord?id=CVE-2022-47967