Numéro : AV17-078
Date : Le 08 Juin 2017
Objet
L’objet de cet avis est d’attirer l’attention sur une mise à jour de sécurité récemment disponible pour les produits de terminaux graphiques et modules logiques de la série Rockwell Automation PanelView Plus 6 700-1500.
Évaluation
Les terminaux graphiques et modules logiques de Rockwell Automation PanelView Plus n’exécutent pas une vérification d’autorisation sur les requêtes entrant sur les ports TCP de 44818 et UDP 2222.
Cela pourrait permettre d’accéder aux donnés à distance et/ou une disruption de service.
Les versions du logiciel du produit PanelView Plus 6 700-1500 qui sont affectés sont :
- 6.00.04,
- 6.00.05,
- 6.00.42,
- 6.00-20140306,
- 6.10.20121012,
- 6.10-20140122,
- 7.00-20121012,
- 7.00-20130108,
- 7.00-20130325,
- 7.00-20130619,
- 7.00-20140128,
- 7.00-20140310,
- 7.00-20140429,
- 7.00-20140621,
- 7.00-20140729,
- 7.00-20141022,
- 8.00-20140730,
- 8.00-20141023
Cette vulnérabilité n’affecte pas les terminaux graphiques qui fonctionnent sur OS 2.31 ou les versions plus récentes.
Référence CVE : CVE-2017-7914
Mesure suggérée
Le CCRIC recommande que les administrateurs de système mettent à l'essai et déploient les mises à jour diffusées par le fournisseur aux applications concernées en conséquence.
- V7.00: Mise-à-jour vers la version V7.00-20150209
- V8.00: Mise-à-jour vers la version V7V8.00-20160418
- V8.10: Mise-à-jour vers la version V7V8.10-20151026 ou plus tard
- V8.20: Mise-à-jour vers la version V7V8.20-20160308 ou plus tard
- V9.00: Mise-à-jour vers la version V7V9.00-20170328 ou plus tard
Consulter ICS-CERT et les avis du fabricant pour le conseil supplémentaire.
Références
https://ics-cert.us-cert.gov/advisories/ICSA-17-157-01
http://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?Keyword=2711P&crumb=112