Bulletins de sécurité
Malgré les méthodes et les précautions strictes employées lors de la conception, du développement et de l’emballage de nos produits, des failles de sécurité peuvent survenir. Cette page liste toutes les alertes de sécurité connues sur les produits conçus par ARC Informatique. Visitez-le fréquemment pour obtenir des informations actualisées. La vulnérabilité de la sécurité est une question que nous prenons très au sérieux. Notre politique et notre pratique consistent à les traiter rapidement et à vous aider à protéger vos systèmes. Des bulletins de sécurité sont mis à la disposition de nos clients pour décrire les vulnérabilités et donner des conseils pour les atténuer. Pour signaler une faille de sécurité ou fournir un retour d’information, vous pouvez nous contacter en utilisant le point de contact décrit dans la section Contact de notre politique de divulgation des vulnérabilités.
Une vulnérabilité de type “Buffer overflow” affecte le pilote client IEC 61850. CVE Id : Affectation en cours Corrigé dans : PcVue 15.2.9, PcVue 16.1.2, PcVue 16.2.0 Patch prévu dans : PcVue 12.0.30
Utilisation d’une version vulnérable de la bibliothèque Mosquitto. Identifiant CVE : CVE-2023-0809 , CVE-2023-3592 Corrigé dans : PcVue 16.1.2, PcVue 16.2.0
Utilisation d’une version vulnérable de la bibliothèque OpenSSL. Identifiant CVE : CVE-2022-4304 Corrigé dans : PcVue 16.1.0 (OpenSSL 3.1.2), PcVue 16.2.0 (OpenSSL 3.2.1) Identifiant CVE : CVE-2023-4807 , CVE-2023-5678 Corrigé dans : PcVue 16.1.2 (OpenSSL 3.2.0), PcVue 16.2.0 (OpenSSL 3.2.1)
Vulnérabilité d’exécution de code à distance dans le runtime Microsoft Visual Basic pour Applications Id CVE : CVE-2010-0815 ( MS10-031 ), CVE-2012-1854 ( MS12-046 ) Correctif fourni avec : PcVue 16.1.1, PcVue 16.0.4, PcVue 15.2.8, FrontVue 16.1.1, FrontVue 15.2.8, PcVue 16.2.0, FrontVue 16.2.0 Patch prévu pour : PcVue 12.0.30, FrontVue 12.0.30
De multiples vulnérabilités ont été corrigées dans le logiciel UaGateway : CVE-2022-4304 – Bibliothèque OpenSSL CVE-2023-0286 – Bibliothèque OpenSSL ZDI-CAN-20353 – Déni de service par dépassement d’entier d’analyse de certificat ZDI-CAN-20494 – Déni de service par validation d’entrée incorrecte ZDI-CAN-20495 – Déni de service par déréférencement de pointeur nul ZDI-CAN-20497 – Déni de service d’utilisation après libération Corrigé dans la version 1.5.13 de UaGateway ZDI-CAN-20497 – Déni de service d’utilisation après libération ZDI-CAN-20576 – Déni de service par injection XML AddServer ZDI-CAN-20577 – Exécution de code à distance après libération de NodeManagerOpcUa Corrigé dans la version 1.5.14 de UaGateway
Une vulnérabilité affecte la configuration des comptes SMS et e-mail. Identifiant CVE : CVE-2022-4312 Corrigé dans PcVue 12.0.28 et PcVue 15.2.4
Une vulnérabilité de type Insertion d’informations sensibles dans un fichier journal affecte la configuration de DbConnect. Identifiant CVE : CVE-2022-4311 Corrigé dans PcVue 15.2.3.
Une vulnérabilité de déni de service affecte le pilote client IEC 61850 et l’interface ICCP/TASE.2. CVE-2022-38138 corrigé dans PcVue 12.0.28 et PcVue 15.2.3
Une vulnérabilité affecte la configuration du service web OAuth. CVE-2022-2569 corrigé dans PcVue 12.0.27 et PcVue 15.2.3
Lors du concours Miami Pwn2Own, la Zero Days Initiative (ZDI) a signalé plusieurs vulnérabilités. CVE-2022-29862 – PoD de boucle de certificat chaîné CVE-2022-29864 – Décrémentation du compteur de référence DoS corrigé dans UaGateway version 1.5.10
CVE-2021-45117 – OPC Foundation, Stubs de pile ANSI C générés automatiquement CVE-2022-0778 – Bibliothèque OpenSSL Corrigé dans UaGateway version 1.5.9
Vulnérabilités d’escalade de privilèges dans Ocean Data Systems Dream Report. Dream Report 5 : CVE-2020-13532, CVE-2020-13533, CVE-2020-13534 Dream Report 2020 : CVE-2021-21957 corrigé dans Dream Report 2020 R2 SP1
Chronologie et préoccupations liées à la vulnérabilité Apache Log4j CVE-2021-44228 , CVE-2021-45046
3 vulnérabilités affectent l’interface entre le back-end Web Mobile et les services web hébergés dans Microsoft IIS CVE-2020-26867 , CVE-2020-26868 , CVE-2020-26869
ICS-ALERT-18-011-01B: Calendrier et préoccupations concernant les mises à jour de Microsoft Windows destinées à atténuer les vulnérabilités Meltdown et Spectre
ICSA-12-024-01 : Ocean Data Systems Dream signale des vulnérabilités XSS et de violation d’accès en écriture. CVE-2011-4038 , CVE-2011-4039
ActiveBar, a 3rd party component used in our products is subject to an alert. More information is available at Microsoft KB2562937 Microsoft released a Windows security update addressing this issue in August 2011.
ICS-ALERT-11-271-01 : PcVue HMI/SCADA multiples vulnérabilités ActiveX CVE-2011-4042 , CVE-2011-4043 , CVE-2011-4044 , CVE-2011-4045