CERTFR-2020-AVI-446 : Multiples vulnérabilités dans les produits Schneider (17 juillet 2020)
Risque(s)
- Exécution de code arbitraire
- Déni de service à distance
Systèmes affectés
- Schneider Electric Software Update (SESU) versions antérieures à V2.5.0
- Schneider Electric Floating License Manager versions antérieures à V2.5.0.0
SESU est notamment utilisé dans :
- EcoStruxure
Augmented Operator AdvisorEcoStruxure Control Expert (anciennement Unity Pro) EcoStruxure Hybrid Distributed Control System (DCS) EcoStruxure Machine Expert (anciennement SoMachine) EcoStruxure Machine Expert Basic EcoStruxure Operator Terminal Expert Eurotherm Data Reviewer Eurotherm iTools eXLhoist Configuration Software Schneider Electric Floating License Manager Schneider Electric License Manager Harmony XB5SSoft SoMachine Motion SoMove Versatile Software BLUE Vijeo Designer OsiSense XX Configuration Software Zelio Soft 2
Schneider Electric Floating License Manager est utilisé dans :
- EcoStruxure Control Expert (avec licence flottante)
- EcoStruxure Control Expert - Asset Link (avec licence flottante)
- EcoStruxure Hybrid Distributed Control System (DCS) (anciennement PlantStruxure PES)
- EcoStruxure Machine Expert (anciennement SoMachine) (avec licence flottante)
- EcoStruxure Machine Expert – Safety (avec licence flottante)
- Facility Expert Online
- EcoStruxure Power Monitoring Expert
- EcoStruxure Power SCADA Operation (anciennement PowerSCADA Expert et PowerLogic SCADA)
- SoMachine Motion (avec licence flottante)
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider SEVD-2020-196-01 du 10 juillet 2020
https://www.se.com/ww/en/download/document/SEVD-2020-196-01/ - Bulletin de sécurité Schneider SEVD-2020-196-02 du 10 juillet 2020
https://www.se.com/ww/en/download/document/SEVD-2020-196-02/ - Référence CVE CVE-2020-8960
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8960 - Référence CVE CVE-2020-8961
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8961 - Référence CVE CVE-2020-7520
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7520
- Vues : 502