Multiples vulnérabilités dans les produits Schneider Electric
le 16 avril 2015
De multiples vulnérabilités ont été corrigées dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Il est recommandé d'appliquer les mesures proposées par l'éditeur.
Risque(s)
- exécution de code arbitraire à distance
- déni de service à distance
- contournement de la politique de sécurité
- atteinte à la confidentialité des données
- élévation de privilèges
Systèmes affectés
- InduSoft Web Studio, version 7.1.3.2 et antérieures
- InTouch Machine Edition 2014, version 7.1.3.2 et antérieures
- VAMPSET software, version 2.2.145 et antérieures
- Pelco DS-NVs, version 7.6.32 et antérieures
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2015-084-01 du 25 mars 2015 : download.schneider-electric.com/files
- Bulletin de sécurité Schneider Electric SEVD-2015-065-01 du 6 mars 2015 : download.schneider-electric.com/files
- Bulletin de sécurité Schneider Electric SEVD-2015-054-01 du 23 février 2015 : download.schneider-electric.com/files
- Bulletin de sécurité Schneider Electric SEVD-2015-054-02 du 23 février 2015 : download.schneider-electric.com/files
- Bulletin de sécurité du CERT-FR : cert.ssi.gouv.fr/site/CERTFR-2015-AVI-132
