Des vulnérabilités critiques ont été identifiées et corrigées dans le système de gestion des licences LMS de Siemens | Accompagnement Cybersécurité des Structures de Santé

Plusieurs vulnérabilités ont été découvertes dans le système de gestion des licences LMS de Siemens :

CVE-2017-11496 : vulnérabilité de débordement de tampon dont l'exploitation permet l'exécution de code arbitraire ;
CVE-2017-11497 : vulnérabilité de dépassement de la pile dont l'exploitation permet l'exécution de code arbitraire ;
CVE-2017-12819 : faille dans la manipulation à distance du programme de mise à jour dont l'exploitation permet des attaques par relais NTLM ;
CVE-2017-12821 : faille de corruption de mémoire dont l'exploitation permet l'exécution de code à distance ;
CVE-2017-11498 : faille de dépassement de tampon dont l'exploitation permet aux attaquants de provoquer un déni de service à partir de packs de langue contenant des fichiers HTLM invalides ;
CVE-2017-12818 : faille de dépassement de pile dans l'analyseur XML personnalisé dont l'exploitation permet de provoquer un déni de service à distance ;
CVE-2017-12820 : vulnérabilité de lecture arbitraire de la mémoire à partir du pointeur de la mémoire dont l'exploitation permet de provoquer un déni de service à distance ;
CVE-2017-12822 : défaut d'authentification pour l'activation et la désactivation de l'interface d'administration à distance.

Informations

Impact

Criticité

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Système de gestion des licences LMS de Siemens versions antérieures à 2.1 SP4 (2.1.681)

CVE

Recommandations

Correctifs

REMARQUE: Les utilisateurs utilisant Desigo CC MP2.1 ou plus récent doivent mettre à jour ALM Manager avant d'appliquer la mise à jour à LMS.

Solution de contournement

Liens

CERT-US