Bulletins de sécurité

Malgré les méthodes et les précautions strictes employées lors de la conception, du développement et de l’emballage de nos produits, des failles de sécurité peuvent survenir. Cette page liste toutes les alertes de sécurité connues sur les produits conçus par ARC Informatique. Visitez-le fréquemment pour obtenir des informations actualisées. La vulnérabilité de la sécurité est une question que nous prenons très au sérieux. Notre politique et notre pratique consistent à les traiter rapidement et à vous aider à protéger vos systèmes. Des bulletins de sécurité sont mis à la disposition de nos clients pour décrire les vulnérabilités et donner des conseils pour les atténuer. Pour signaler une faille de sécurité ou fournir un retour d’information, vous pouvez nous contacter en utilisant le point de contact décrit dans la section Contact de notre politique de divulgation des vulnérabilités.
Id d'alerte Statut Dernière mise à jour Description Produit Bulletin de sécurité
2024-1 En cours 2 mai 2024 Une vulnérabilité de type "Buffer overflow" affecte le pilote client IEC 61850.
CVE Id : Affectation en cours
Corrigé dans : PcVue 15.2.9, PcVue 16.1.2
Patch prévu dans : PcVue 16.2.0, PcVue 12.0.30
Toutes les versions depuis PcVue 10.0 SB2024-1
2023-4 En cours 2 mai 2024 Utilisation d'une version vulnérable de la bibliothèque Mosquitto.
CVE Id : CVE-2023-0809, CVE-2023-3592
Corrigé dans : PcVue 16.1.2
Patch prévu dans : PcVue 16.2.0
Toutes les versions depuis PcVue 15.0
SB2023-4
2023-3 En cours 2 mai 2024 Utilisation d'une version vulnérable de la bibliothèque OpenSSL.
CVE Id : CVE-2022-4304
Corrigé dans : PcVue 16.1.0 (OpenSSL 3.1.2)
Patch prévu pour : PcVue 16.2.0 (OpenSSL 3.2.1)
CVE Id : CVE-2023-4807, CVE-2023-5678
Corrigé dans : PcVue 16.1.2 (OpenSSL 3.2.0)
Patch prévu pour : PcVue 16.2.0 (OpenSSL 3.2.1)
PcVue 12
PcVue 15
PcVue 16
SB2023-3
2023-2 En cours 2 mai 2024 Vulnérabilité d'exécution de code à distance dans le moteur d'exécution de Microsoft Visual Basic for Applications
CVE Id : CVE-2010-0815(MS10-031), CVE-2012-1854(MS12-046)
Patch fourni avec : PcVue 16.1.1, PcVue 16.0.4, PcVue 15.2.8, FrontVue 16.1.1, FrontVue 15.2.8
Patch prévu pour : PcVue 16.2.0, PcVue 12.0.30, FrontVue 16.2.0, FrontVue 12.0.30
PcVue version 9.0 à 16.1
FrontVue version 4.2 à 16.1
SB2023-2
2023-1 Terminé 2 octobre 2023

De multiples vulnérabilités ont été corrigées dans le logiciel UaGateway :
- CVE-2022-4304 - Bibliothèque OpenSSL
- CVE-2023-0286 - Bibliothèque OpenSSL
- ZDI-CAN-20353 - Déni de service par dépassement d'entier lors de l'analyse des certificats
- ZDI-CAN-20494 - Déni de service de la validation d'entrée incorrecte
- ZDI-CAN-20495 - Déni de service par déréférence de pointeur nul
- ZDI-CAN-20497 - Déni de service Use-After-Free
Corrigé dans la version 1.5.13 de UaGateway

- ZDI-CAN-20497 - Déni de service Use-After-Free
- ZDI-CAN-20576 - Déni de service par injection XML dans AddServer
- ZDI-CAN-20577 - NodeManagerOpcUa Use-After-Free Exécution de code à distance
Corrigé dans la version 1.5.14 de UaGateway

Versions de UaGateway antérieures à 1.5.14 Reportez-vous aux bulletins de sécurité de Unified Automation et à l'historique de UaGateway pour plus de détails.
2022-7 Terminé 23 janvier 2023 Une vulnérabilité affecte la configuration des comptes SMS et e-mail.
CVE Id : CVE-2022-4312
Correction dans PcVue 12.0.28 et PcVue 15.2.4
Toutes les versions depuis PcVue 8.10 SB2022-7
2022-6 Terminé 20 décembre 2022 Une vulnérabilité de type Insertion d'informations sensibles dans un fichier journal affecte la configuration de DbConnect.
CVE Id : CVE-2022-4311
Corrigé dans PcVue 15.2.3.
PcVue 15 SB2022-6
2022-5 Terminé 23 janvier 2023 Une vulnérabilité de type déni de service affecte le pilote client IEC 61850 et l'interface ICCP/TASE.2.
CVE-2022-38138
Correction dans PcVue 12.0.28 et PcVue 15.2.3
IEC 61850 : PcVue 10.0 et suivants
ICCP/TASE.2 : PcVue 15.1
SB2022-5
2022-4 Terminé 19 septembre 2022 Une vulnérabilité affecte la configuration du service web OAuth.
CVE-2022-2569
Correction dans PcVue 12.0.27 et PcVue 15.2.3
PcVue 12
PcVue 15
SB2022-4
2022-3 Terminé 7 janvier 2022 Lors du concours Pwn2Own de Miami, la Zero Days Initiative (ZDI) a signalé de multiples vulnérabilités.
- CVE-2022-29862 - Boucle de certificat enchaîné PoD
- CVE-2022-29864 - DoS de décrémentation du compteur de référence
Corrigé dans la version 1.5.10 de UaGateway
Versions de UaGateway antérieures à 1.5.10 Pour plus de détails, reportez-vous aux bulletins de sécurité d'Unified Automation.
2022-2 Terminé 5 juillet 2022 CVE-2021-45117 - Fondation OPC, piles ANSI C autogénérées
CVE-2022-0778 - Bibliothèque OpenSSL
Corrigé dans la version 1.5.9 de UaGateway
Versions de UaGateway antérieures à 1.5.9 Pour plus de détails, reportez-vous aux bulletins de sécurité d'Unified Automation.
2022-1 Terminé 28 février 2022 Vulnérabilités d'escalade de privilèges dans Ocean Data Systems Dream Report.
- Rapport de rêve 5 : CVE-2020-13532, CVE-2020-13533, CVE-2020-13534
- Rapport de rêve 2020 : CVE-2021-21957
Correction dans Dream Report 2020 R2 SP1
Rapport de rêve
2021-1 Terminé 16 décembre 2021 Calendrier et problèmes liés à la vulnérabilité d'Apache Log4j
CVE-2021-44228, CVE-2021-45046
SB2021-1
2020-1 Terminé 2 août 2021 3 vulnérabilités affectent l'interface entre le back-end Web & Mobile et les services web hébergés dans Microsoft IIS
CVE-2020-26867, CVE-2020-26868, CVE-2020-26869
PcVue 8.10 et versions ultérieures SB2020-1
2018-1 Terminé 22 janvier 2018 ICS-ALERT-18-011-01B: Calendrier et préoccupations concernant les mises à jour de Microsoft Windows destinées à atténuer les vulnérabilités Meltdown et Spectre PcVue,
FrontVue,
PlantVue,
Produits partenaires
SB2018-1
2012-2 Terminé 30 août 2012 ICSA-12-024-01: Ocean Data Systems Dream Reports XSS et violations d'accès en écriture.
CVE-2011-4038, CVE-2011-4039
Versions de Dream Report antérieures à 4.0 -
2012-1 Terminé 21 novembre 2014 ActiveBar, un composant tiers utilisé dans nos produits, fait l'objet d'une alerte. Pour plus d'informations, voir Microsoft KB2562937
Microsoft a publié une mise à jour de sécurité de Windows pour résoudre ce problème en août 2011.
PcVue 6.0 et versions ultérieures,
FrontVue - Toutes les versions,
PlantVue - Toutes les versions
SB2012-1
2011-1 Terminé 21 novembre 2014 ICS-ALERT-11-271-01: Vulnérabilités ActiveX multiples de PcVue HMI/SCADA
CVE-2011-4042, CVE-2011-4043, CVE-2011-4044, CVE-2011-4045
PcVue 6.0 et versions ultérieures,
FrontVue - Toutes les versions,
PlantVue - Toutes les versions
SB2011-1