L’équipe PSIRT de Softing est centralisée et chargée de rechercher et de mettre en lumière les failles de sécurité. Tous les rapports concernant les failles éventuelles ou d’autres incidents de sécurité liés aux produits Softing peuvent être transmis à l’équipe PSIRT de Softing. L‘équipe PSIRT de Softing coordonne et gère la communication avec toutes les personnes concernées, tant à l'intérieur qu'à l'extérieur, afin de pouvoir apporter une solution adéquate aux incidents de sécurité révélés.
L’identification des vulnérabilités nous permet de les corriger et d'aviser les clients qui utilisent les produits en question. En adoptant cette démarche, nous continuons d’améliorer la fiabilité de nos produits et aidons les clients de Softing à gérer les risques de sécurité.
Si vous pensez avoir identifié une faille de sécurité dans un produit Softing, veuillez le signaler par e-mail à l’adresse psirt[at]softing[dot]com.
Veuillez joindre les renseignements suivants à votre rapport :
Le processus PSIRT de Softing repose sur le cadre FIRST et suit 4 étapes :
découverte, triage, résolution, divulgation.
Softing veillera à ce que les informations soient transmises à des employés sélectionnés de Softing, ayant déjà traité ce type d'incidents : l'équipe d’intervention en cas d’incident de sécurité des produits de Softing (Product Security Incident Response Team ou PSIRT). Ni les employés non autorisés ni les utilisateurs externes n'auront accès aux informations que vous envoyez.
En outre, Softing veillera à préserver la confidentialité et la non-divulgation (dans des avis et bulletins) de l'identité et des coordonnées de l'expert en sécurité , sauf demande expresse de l'expert en sécurité. L’équipe PSIRT de Softing examinera la vulnérabilité signalée et vous contactera dès que possible.
L’équipe PSIRT de Softing enquête sur tous les rapports d’incidents de sécurité et publie des avis de sécurité sur les failles de sécurité validées qui affectent directement les produits Softing et nécessitent une mise à jour ou une mise à niveau du logiciel ou une autre action de la part du client. Dans le cadre de ses efforts continus pour aider les opérateurs à faire face aux risques de sécurité et à préserver la sécurité de fonctionnement des systèmes, l’équipe PSIRT de Softing met à la disposition des opérateurs les renseignements nécessaires à l’évaluation des ramifications d'une faille de sécurité.
Nous publions des informations sur les vulnérabilités des produits Softing et des avis de sécurité nouveaux ou mis à jour sur notre site Internet.
Cliquez ici pour télécharger notre clé PGP
Empreinte digitale : 220C 4E9E 9A71 17BB C8E1 F863 0D5C 307C CACE DEDC
Langues : Allemand ou anglais
Transmission : de préférence avec chiffrement
ID | Titre | CVE | Score CVSS | Produits | Date | Téléchargement |
SYT-2024-2 | Version manquante de la vulnérabilité de la mémoire manquante dans uaToolkit embarqué et smartLink | CVE-2024-25075 | 6,5 | uaToolkit embarqué | 09.03.2024 | |
SYT-2024-1 | Faille de sécurité pour les scripts intersites dans TH SCOPE | CVE-2023-37571 | 9,8 | TH SCOPE | 24.01.2024 | HTML JSON |
ID | Titre | CVE | Score CVSS | Produits | Date | Téléchargement |
SYT-2023-9 | Plusieurs vulnérabilités dans edgeConnector, edgeAggregator et Secure Integration Server | CVE-2023-27335 CVE-2023-38125 CVE-2023-38126 | 6.6 7.2 7.2 | edgeConnector edgeAggregator Secure Integration Server | 01.12.2023 | HTML JSON |
SYT-2023-8 | Vulnérabilité transversale du trajet dans edgeConnector, edgeAggregator et Secure Integration Server | CVE-2023-39482 | 4,9 | edgeConnector edgeAggregator Secure Integration Server | 01.12.2023 | HTML JSON |
SYT-2023-7 | Vulnérabilité de déréférencement de pointeur NUL dans edgeConnector, edgeAggregator et Secure Integration Server | CVE-2023-27336 | 7,5 | edgeConnector edgeAggregator Secure Integration Server | 30.11.2023 | HTML JSON |
SYT-2023-6 | Vulnérabilité transversale du trajet relative dans Secure Integration Server | CVE-2023-39481 | 7,2 | Secure Integration Server | 30.11.2023 | HTML JSON |
SYT-2023-5 | Vulnérabilité du contrôle incorrect de l’accès dans OPC Suite | CVE-2023-37572 | 5,6 | OPC Suite | 29.11.2023 | HTML JSON |
SYT-2023-4 | Vulnérabilité de la validation incorrecte des entrées dans edgeConnector Siemens | CVE-2023-6358 | 4,9 | edgeConnector Siemens | 28.11.2023 | HTML JSON |
SYT-2023-3 | Vulnérabilité d’une exception non capturée dans le Kit de développement logiciel OPC UA C++, Secure Integration Server et OPC Suite | CVE-2023-41151 | 7,5 | Kit de développement logiciel OPC UA C++ | 07.11.2023 | |
SYT-2023-2 | Contournement des limites et vulnérabilité transversale du trajet relative dans le Kit de développement logiciel OPC UA C++ et Secure Integration Server | CVE-2023-29377 CVE-2023-29378 | 7,7 | Kit de développement logiciel OPC UA C++ Secure Integration Server | 05.06.2023 | HTML JSON |
SYT-2023-1 | Vulnérabilité incontrôlée de la consommation des ressources dans le Kit de développement logiciel OPC UA C++, edgeConnector, edgeAggregator et Secure Integration Server | CVE-2023-27334 | 7,5 | Kit de développement logiciel OPC UA C++ Secure Integration Server edgeConnector edgeAggregator | 05.06.2023 | HTML JSON |
ID | Titre | CVE | Score CVSS | Produits | Date | Téléchargement |
SYT-2022-11 | Plusieurs vulnérabilités dans smartLink SW-HT | CVE-2022-48192 CVE-2022-48193 | 7,2 | smartLink SW-HT | 29.12.2022 | HTML JSON |
SYT-2022-10 | Plusieurs vulnérabilités dans uaToolkit embarqué et smartLink HW-DP | CVE-2022-44018 CVE-2022-45920 | 7,5 | uaToolkit embarqué smartLink HW-DP | 28.12.2022 | HTML JSON |
SYT-2022-9 | Vulnérabilité de la validation incorrecte des entrées dans le Kit de développement logiciel OPC UA C++, Secure Integration Server, edgeConnector, edgeAggregator, uaGate et OPC Suite | CVE-2022-37453 | 7,5 | Kit de développement logiciel OPC UA C++ Secure Integration Server edgeConnector edgeAggregato uaGate OPC Suite | 14.10.2022 | HTML JSON |
SYT-2022-8 | Utilisation après l’absence de vulnérabilité dans le Kit de développement logiciel OPC UA C++ et OPC Suite | CVE-2022-39823 | 7,5 | Kit de développement logiciel OPC UA C++ OPC Suite | 14.10.2022 | HTML JSON |
SYT-2022-7 | Vulnérabilité de déréférence du pointeur NUL dans le Kit de développement logiciel OPC UA C++, Secure Integration Server, edgeConnector et edgeAggregator | CVE-2022-1748 | 7,5 | Kit de développement logiciel OPC UA C++ Secure Integration Server edgeConnector edgeAggregator | 29.07.2022 | HTML JSON |
SYT-2022-6 | Vulnérabilité de contournement de l'authentification des identifiants par défaut dans Secure Integration Server, edgeConnector et edgeAggregator | CVE-2022-2336 | 9,8 | Secure Integration Server edgeConnector edgeAggregator | 27.07.2022 | HTML JSON |
SYT-2022-5 | Vulnérabilité de l’exécution du code à distance dans la fonctionnalité de restauration de la configuration du Secure Integration Server | CVE-2022-2334 CVE-2022-1373 CVE-2022-2338 | 7,2 | Secure Integration Server | 27.07.2022 | HTML JSON |
SYT-2022-4 | Plusieurs vulnérabilités de déni de service dans l’interface FastCGI du Secure Integration Server | CVE-2022-1069 CVE-2022-2337 CVE-2022-2335 CVE-2022-2547 | 7,5 | Secure Integration Server | 27.07.2022 | HTML JSON |
SYT-2022-3 | Plusieurs vulnérabilités dans le Kit de développement logiciel OPC UA .NET Standard et le Kit de développement logiciel OPC UA .NET | CVE-2022-29862 CVE-2022-29863 CVE-2022-29864 CVE-2022-29865 | 7,5 | Kit de développement logiciel OPC UA .NET Standard Kit de développement logiciel OPC UA .NET | 22.07.2022 | HTML JSON |
SYT-2022-2 | Vulnérabilités dans l’OpenSSL utilisé dans le Kit de développement logiciel OPC UA C++ | CVE-2022-0778 | 7,5 | Kit de développement logiciel OPC UA C++ | 15.03.2022 | HTML JSON |
SYT-2022-1 | Plusieurs vulnérabilités dans le Kit de développement logiciel OPC UA C++ | CVE-2021-42262 CVE-2021-42577 | 7,5 | Kit de développement logiciel OPC UA C++ OPC Suite Secure Integration Server | 09.03.2022 | HTML JSON |
Description | Catégorie | CVE | Date | Produit | Fixé dans la version |
Corruption possible de la mémoire dans le contrôleur BT | Moyen | CVE-2021-35093 | 06.12.2021 | mobiLink | N. A. |
CWE 20 : Validation incorrecte des entrées | Élevé | CVE-2021-40872 | 08.11.2021 | uaToolkit embarqué smartLink HW DP | 1.40 prévu pour 1.19 |
CWE 415 : Double libre | Élevé | CVE-2021-40873 | 08.11.2021 | uaToolkit embarqué Kit de développement logiciel OPC UA C++ TH SCOPE dataFEED OPC Suite Secure Integration Server edgeConnector uaGates | 1.40 5.66 N. A. 5.18 prévu pour 1.30 3.10 1.73 |
CWE 20 : Validation incorrecte des entrées | Moyen | CVE-2021-40871 | 08.11.2021 | Kit de développement logiciel OPC UA C++ TH SCOPE dataFEED OPC Suite Secure Integration Server | 5.66 N. A. 5.18 prévu pour 1.30 |
Restriction inadéquate des opérations dans les limites d'une mémoire tampon | Élevé | CVE-2021-32994 | 17.06.2021 | Kit de développement logiciel OPC UA C++ | 5,65 |
Récursivité illimitée dans les structures XML | Élevé | CVE : 2021-27432 | 17.02.2021 | Kit de développement logiciel OPC UA .NET Standard Kit de développement logiciel OPC UA .NET | 2.80 1.48 |
Vulnérabilité de l’élévation des privilèges | moyen | CVE : 2020-29457 | 15.02.2021 | Kit de développement logiciel standard OPC UA .NET | 2,80 |
Description | Catégorie | CVE | Date | Produit | Fixé dans la version |
DÉPASSEMENT DE LA MÉMOIRE TAMPON EN TAS | Élevé | CVE-2020-14524 | 28.07.2020 | Kit de développement logiciel OPC Classic | 4.47.1 |
CONSOMMATION INCONTRÔLÉE DES RESSOURCES | Élevé | CVE-2020-14522 | 28.07.2020 | Kit de développement logiciel OPC Classic | 4.47.1 |
Les serveurs ne créent pas de nombres assez aléatoires | Élevé | CVE-2019-19135 | 10.03.2020 | Kit de développement logiciel standard .NET Standard | 2,40 |
Les serveurs ne créent pas de nombres assez aléatoires | Élevé | CVE-2019-19135 | 10.03.2020 | Kit de développement logiciel dataFEED C++ | 5,62 |
Description | Catégorie | CVE | Date | Produit | Fixé dans la version |
Exécution possible du mode à distance authentifié | Élevé | CVE-2019-15051 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.72.00,1996 |
Élévation du privilège Sudo | Élevé | CVE-2019-11526 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.71.00,1225 |
Exécution d’un autre mode à distance authentifié | Élevé | CVE-2019-11527 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.72.00,1996 |
Droits d’utilisateur unix par défaut | Élevé | CVE-2019-11528 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.71.00,1225 |
Aucune garantie n'est donnée quant à l'exhaustivité ou à l'exactitude de la liste ci-dessus. Ces informations sont fournies sans aucune garantie, explicite ou tacite. Nous nous réservons le droit de modifier ou d'actualiser le contenu de ce site Internet, sans préavis et à tout moment. La mise à jour gratuite vous permet de prévenir ou de limiter les conséquences des dommages liés aux failles de sécurité. Nous ne pouvons être tenus responsables des conséquences résultant d'une telle omission. Les failles de sécurité ne peuvent pas être éliminées dans tous les cas pour les produits en fin de cycle de vie.
Ce sigle signifie « Common Vulnerabilities and Exposures », à savoir Vulnérabilités et expositions communes. Il s’agit d’une norme industrielle visant à instaurer une convention de dénomination commune pour les vulnérabilités et autres problèmes de sécurité dans les systèmes informatiques. La désignation multiple d’une même menace par différentes entreprises et institutions s’accompagne d’un numéro de série (par exemple CVE-2006- 3086) afin de garantir l’identification univoque de la faille. Cela permet un échange fluide des informations entre les bases de données de fabricants divers.