Industrial

Informations sur la sécurité

PSIRT – Équipe d'intervention en cas d’incident de sécurité des produits

L’équipe PSIRT de Softing est centralisée et chargée de rechercher et de mettre en lumière les failles de sécurité. Tous les rapports concernant les failles éventuelles ou d’autres incidents de sécurité liés aux produits Softing peuvent être transmis à l’équipe PSIRT de Softing. L‘équipe PSIRT de Softing coordonne et gère la communication avec toutes les personnes concernées, tant à l'intérieur qu'à l'extérieur, afin de pouvoir apporter une solution adéquate aux incidents de sécurité révélés.

Pourquoi faut-il signaler les vulnérabilités ?

L’identification des vulnérabilités nous permet de les corriger et d'aviser les clients qui utilisent les produits en question. En adoptant cette démarche, nous continuons d’améliorer la fiabilité de nos produits et aidons les clients de Softing à gérer les risques de sécurité.

Si vous pensez avoir identifié une faille de sécurité dans un produit Softing, veuillez le signaler par e-mail à l’adresse .

Veuillez joindre les renseignements suivants à votre rapport :

  • Coordonnées et disponibilité
  • Produit concerné, avec le numéro de modèle et de version
  • Classification de la vulnérabilité (dépassement de la mémoire tampon, XSS, …)
  • Description détaillée de la vulnérabilité (avec vérification si possible)
  • Conséquence de la vulnérabilité (si connue)
  • Niveau actuel de la sensibilisation à la vulnérabilité (est-il prévu de la dévoiler ou existe-t-il une politique de communication ?)
  • Affiliation (de la société) de la personne déclarante/découvreuse (si elle est disposée à fournir ces informations)
  • Score CVSS (si connu)

Qu’en-sera-t-il de votre rapport ?

Le processus PSIRT de Softing repose sur le cadre FIRST et suit 4 étapes :
découverte, triage, résolution, divulgation.

Softing veillera à ce que les informations soient transmises à des employés sélectionnés de Softing, ayant déjà traité ce type d'incidents : l'équipe d’intervention en cas d’incident de sécurité des produits de Softing (Product Security Incident Response Team ou PSIRT). Ni les employés non autorisés ni les utilisateurs externes n'auront accès aux informations que vous envoyez.

En outre, Softing veillera à préserver la confidentialité et la non-divulgation (dans des avis et bulletins) de l'identité et des coordonnées de l'expert en sécurité , sauf demande expresse de l'expert en sécurité. L’équipe PSIRT de Softing examinera la vulnérabilité signalée et vous contactera dès que possible.

Restez à la page

L’équipe PSIRT de Softing enquête sur tous les rapports d’incidents de sécurité et publie des avis de sécurité sur les failles de sécurité validées qui affectent directement les produits Softing et nécessitent une mise à jour ou une mise à niveau du logiciel ou une autre action de la part du client. Dans le cadre de ses efforts continus pour aider les opérateurs à faire face aux risques de sécurité et à préserver la sécurité de fonctionnement des systèmes, l’équipe PSIRT de Softing met à la disposition des opérateurs les renseignements nécessaires à l’évaluation des ramifications d'une faille de sécurité.

Restez informé avec nos avis de sécurité

Nous publions des informations sur les vulnérabilités des produits Softing et des avis de sécurité nouveaux ou mis à jour sur notre site Internet.

Contactez l’équipe PSIRT de Softing

Clé publiques Softing PSIRT

Cliquez ici pour télécharger notre clé PGP

Empreinte digitale : 220C 4E9E 9A71 17BB C8E1 F863 0D5C 307C CACE DEDC

Langues : Allemand ou anglais
Transmission : de préférence avec chiffrement

Avis de sécurité
ID Titre CVE Score CVSS Produits Date Téléchargement
SYT-2024-2 Version manquante de la vulnérabilité de la mémoire manquante dans uaToolkit embarqué et smartLink CVE-2024-25075 6,5

uaToolkit embarqué
smartLink HW-DP
smartLink SW-PN
smartLink HW-PN

09.03.2024

HTML
JSON

SYT-2024-1 Faille de sécurité pour les scripts intersites dans TH SCOPE CVE-2023-37571 9,8 TH SCOPE 24.01.2024 HTML
JSON
ID Titre CVE Score CVSS Produits Date Téléchargement
SYT-2023-9 Plusieurs vulnérabilités dans edgeConnector, edgeAggregator et Secure Integration Server CVE-2023-27335
CVE-2023-38125
CVE-2023-38126
6.6
7.2
7.2
edgeConnector
edgeAggregator
Secure Integration Server
01.12.2023 HTML
JSON
SYT-2023-8 Vulnérabilité transversale du trajet dans edgeConnector, edgeAggregator et Secure Integration Server CVE-2023-39482 4,9 edgeConnector
edgeAggregator
Secure Integration Server

01.12.2023

HTML
JSON
SYT-2023-7 Vulnérabilité de déréférencement de pointeur NUL dans edgeConnector, edgeAggregator et Secure Integration Server CVE-2023-27336 7,5 edgeConnector
edgeAggregator
Secure Integration Server
30.11.2023 HTML
JSON
SYT-2023-6 Vulnérabilité transversale du trajet relative dans Secure Integration Server CVE-2023-39481 7,2 Secure Integration Server 30.11.2023 HTML
JSON
SYT-2023-5 Vulnérabilité du contrôle incorrect de l’accès dans OPC Suite CVE-2023-37572 5,6 OPC Suite 29.11.2023 HTML
JSON
SYT-2023-4 Vulnérabilité de la validation incorrecte des entrées dans edgeConnector Siemens CVE-2023-6358 4,9 edgeConnector Siemens 28.11.2023 HTML
JSON
SYT-2023-3 Vulnérabilité d’une exception non capturée dans le Kit de développement logiciel OPC UA C++, Secure Integration Server et OPC Suite CVE-2023-41151 7,5

Kit de développement logiciel OPC UA C++
OPC Suite
Secure Integration Server

07.11.2023

HTML
JSON

SYT-2023-2 Contournement des limites et vulnérabilité transversale du trajet relative dans le Kit de développement logiciel OPC UA C++ et Secure Integration Server CVE-2023-29377
CVE-2023-29378
7,7 Kit de développement logiciel OPC UA C++
Secure Integration Server
05.06.2023 HTML
JSON
SYT-2023-1 Vulnérabilité incontrôlée de la consommation des ressources dans le Kit de développement logiciel OPC UA C++, edgeConnector, edgeAggregator et Secure Integration Server CVE-2023-27334 7,5 Kit de développement logiciel OPC UA C++
Secure Integration Server
edgeConnector
edgeAggregator
05.06.2023 HTML
JSON
ID Titre CVE Score CVSS Produits Date Téléchargement
SYT-2022-11 Plusieurs vulnérabilités dans smartLink SW-HT CVE-2022-48192
CVE-2022-48193
7,2 smartLink SW-HT 29.12.2022 HTML
JSON
SYT-2022-10 Plusieurs vulnérabilités dans uaToolkit embarqué et smartLink HW-DP CVE-2022-44018
CVE-2022-45920
7,5 uaToolkit embarqué
smartLink HW-DP
28.12.2022 HTML
JSON
SYT-2022-9 Vulnérabilité de la validation incorrecte des entrées dans le Kit de développement logiciel OPC UA C++, Secure Integration Server, edgeConnector, edgeAggregator, uaGate et OPC Suite CVE-2022-37453 7,5 Kit de développement logiciel OPC UA C++
Secure Integration Server
edgeConnector
edgeAggregato
uaGate
OPC Suite
14.10.2022 HTML
JSON
SYT-2022-8 Utilisation après l’absence de vulnérabilité dans le Kit de développement logiciel OPC UA C++ et OPC Suite CVE-2022-39823 7,5 Kit de développement logiciel OPC UA C++
OPC Suite
14.10.2022 HTML
JSON
SYT-2022-7 Vulnérabilité de déréférence du pointeur NUL dans le Kit de développement logiciel OPC UA C++, Secure Integration Server, edgeConnector et edgeAggregator CVE-2022-1748 7,5 Kit de développement logiciel OPC UA C++
Secure Integration Server
edgeConnector
edgeAggregator
29.07.2022 HTML
JSON
SYT-2022-6 Vulnérabilité de contournement de l'authentification des identifiants par défaut dans Secure Integration Server, edgeConnector et edgeAggregator CVE-2022-2336 9,8 Secure Integration Server
edgeConnector
edgeAggregator
27.07.2022 HTML
JSON
SYT-2022-5 Vulnérabilité de l’exécution du code à distance dans la fonctionnalité de restauration de la configuration du Secure Integration Server CVE-2022-2334
CVE-2022-1373
CVE-2022-2338
7,2 Secure Integration Server 27.07.2022 HTML
JSON
SYT-2022-4 Plusieurs vulnérabilités de déni de service dans l’interface FastCGI du Secure Integration Server CVE-2022-1069
CVE-2022-2337
CVE-2022-2335
CVE-2022-2547
7,5 Secure Integration Server 27.07.2022 HTML
JSON
SYT-2022-3 Plusieurs vulnérabilités dans le Kit de développement logiciel OPC UA .NET Standard et le Kit de développement logiciel OPC UA .NET CVE-2022-29862
CVE-2022-29863
CVE-2022-29864
CVE-2022-29865
7,5 Kit de développement logiciel OPC UA .NET Standard
Kit de développement logiciel OPC UA .NET
22.07.2022 HTML
JSON
SYT-2022-2 Vulnérabilités dans l’OpenSSL utilisé dans le Kit de développement logiciel OPC UA C++ CVE-2022-0778 7,5 Kit de développement logiciel OPC UA C++ 15.03.2022 HTML
JSON
SYT-2022-1 Plusieurs vulnérabilités dans le Kit de développement logiciel OPC UA C++ CVE-2021-42262
CVE-2021-42577
7,5 Kit de développement logiciel OPC UA C++
OPC Suite
Secure Integration Server
09.03.2022 HTML
JSON
Description Catégorie CVE Date Produit Fixé dans la version
Corruption possible de la mémoire dans le contrôleur BT Moyen CVE-2021-35093 06.12.2021 mobiLink N. A.
CWE 20 : Validation incorrecte des entrées Élevé CVE-2021-40872 08.11.2021 uaToolkit embarqué
smartLink HW DP
1.40
prévu pour 1.19
CWE 415 : Double libre Élevé CVE-2021-40873 08.11.2021 uaToolkit embarqué
Kit de développement logiciel OPC UA C++
TH SCOPE
dataFEED OPC Suite
Secure Integration Server
edgeConnector
uaGates
1.40
5.66
N. A.
5.18
prévu pour 1.30
3.10
1.73
CWE 20 : Validation incorrecte des entrées Moyen CVE-2021-40871 08.11.2021 Kit de développement logiciel OPC UA C++
TH SCOPE
dataFEED OPC Suite
Secure Integration Server
5.66
N. A.
5.18
prévu pour 1.30
Restriction inadéquate des opérations dans les limites d'une mémoire tampon Élevé CVE-2021-32994 17.06.2021 Kit de développement logiciel OPC UA C++ 5,65
Récursivité illimitée dans les structures XML Élevé CVE : 2021-27432 17.02.2021 Kit de développement logiciel OPC UA .NET Standard
Kit de développement logiciel OPC UA .NET
2.80
1.48
Vulnérabilité de l’élévation des privilèges moyen CVE : 2020-29457 15.02.2021 Kit de développement logiciel standard OPC UA .NET 2,80
Description Catégorie CVE Date Produit Fixé dans la version
DÉPASSEMENT DE LA MÉMOIRE TAMPON EN TAS Élevé CVE-2020-14524 28.07.2020 Kit de développement logiciel OPC Classic 4.47.1
CONSOMMATION INCONTRÔLÉE DES RESSOURCES Élevé CVE-2020-14522 28.07.2020 Kit de développement logiciel OPC Classic 4.47.1
Les serveurs ne créent pas de nombres assez aléatoires Élevé CVE-2019-19135 10.03.2020 Kit de développement logiciel standard .NET Standard 2,40
Les serveurs ne créent pas de nombres assez aléatoires Élevé CVE-2019-19135 10.03.2020 Kit de développement logiciel dataFEED C++ 5,62
Description Catégorie CVE Date Produit Fixé dans la version
Exécution possible du mode à distance authentifié Élevé CVE-2019-15051 10.10.2019 uaGate SI
uaGate MB   
uaGate840D
edgeGate
1.72.00,1996
Élévation du privilège Sudo Élevé CVE-2019-11526 10.10.2019 uaGate SI
uaGate MB
uaGate840D
edgeGate
1.71.00,1225
Exécution d’un autre mode à distance authentifié Élevé CVE-2019-11527 10.10.2019 uaGate SI
uaGate MB
uaGate840D
edgeGate
1.72.00,1996
Droits d’utilisateur unix par défaut Élevé CVE-2019-11528 10.10.2019 uaGate SI
uaGate MB
uaGate840D
edgeGate
1.71.00,1225
Softing recommande de toujours utiliser la dernière version du logiciel/micrologiciel. Les versions les plus récentes se trouvent dans la rubrique Assistance et téléchargement ou sur la page donnée du produit.

Aucune garantie n'est donnée quant à l'exhaustivité ou à l'exactitude de la liste ci-dessus. Ces informations sont fournies sans aucune garantie, explicite ou tacite. Nous nous réservons le droit de modifier ou d'actualiser le contenu de ce site Internet, sans préavis et à tout moment. La mise à jour gratuite vous permet de prévenir ou de limiter les conséquences des dommages liés aux failles de sécurité. Nous ne pouvons être tenus responsables des conséquences résultant d'une telle omission. Les failles de sécurité ne peuvent pas être éliminées dans tous les cas pour les produits en fin de cycle de vie.

Que signifie CVE ?

Ce sigle signifie « Common Vulnerabilities and Exposures », à savoir Vulnérabilités et expositions communes. Il s’agit d’une norme industrielle visant à instaurer une convention de dénomination commune pour les vulnérabilités et autres problèmes de sécurité dans les systèmes informatiques. La désignation multiple d’une même menace par différentes entreprises et institutions s’accompagne d’un numéro de série (par exemple CVE-2006- 3086) afin de garantir l’identification univoque de la faille. Cela permet un échange fluide des informations entre les bases de données de fabricants divers.

x

Softing Industrial Support

USA, Canada, Mexico
(865) 251-5244 (Knoxville, TN)
  
Callback

Germany HQ


«