Notre site Web est actuellement en cours de mise à jour et sera bientôt tout nouveau ! Certaines pages peuvent ne pas s'afficher correctement, veuillez nous en excuser.

 

Bulletins de sécurité

Malgré les précautions strictes employées lors de la conception, du développement et de la livraison de nos produits, des failles de sécurité peuvent survenir.
Cette page liste toutes les alertes de sécurité connues sur les produits conçus par ARC Informatique. Visitez-la fréquemment pour obtenir des informations actualisées.

Les vulnérabilités de nos produits sont un sujet que nous prenons très au sérieux. Notre politique et notre pratique consistent à les traiter rapidement et à vous aider à protéger vos systèmes en vous fournissant les informations nécessaires.
Des bulletins de sécurité sont mis à la disposition de nos clients pour décrire ces vulnérabilités et proposer des solutions concrètes pour les atténuer.

Pour signaler une faille de sécurité ou fournir un retour d’information, vous pouvez nous contacter en utilisant le point de contact de la section Contact de notre politique de divulgation des vulnérabilités.

Id d'alerte Statut Dernière mise à jour Description Produit Bulletin de sécurité
2023-1 Terminé 2 octobre 2023

De multiples vulnérabilités ont été corrigées dans le logiciel UaGateway :
- CVE-2022-4304 - Bibliothèque OpenSSL
- CVE-2023-0286 - Bibliothèque OpenSSL
- ZDI-CAN-20353 - Déni de service par dépassement d'entier lors de l'analyse des certificats
- ZDI-CAN-20494 - Déni de service de la validation d'entrée incorrecte
- ZDI-CAN-20495 - Déni de service par déréférence de pointeur nul
- ZDI-CAN-20497 - Déni de service Use-After-Free
Corrigé dans la version 1.5.13 de UaGateway

- ZDI-CAN-20497 - Déni de service Use-After-Free
- ZDI-CAN-20576 - Déni de service par injection XML dans AddServer
- ZDI-CAN-20577 - NodeManagerOpcUa Use-After-Free Exécution de code à distance
Corrigé dans la version 1.5.14 de UaGateway

 Versions de UaGateway antérieures à 1.5.14 Reportez-vous aux bulletins de sécurité de Unified Automation et à l'historique de UaGateway pour plus de détails.
2022-7 Terminé 23 janvier 2023 Une vulnérabilité affecte la configuration des comptes SMS et e-mail.
CVE Id : CVE-2022-4312
Correction dans PcVue 12.0.28 et PcVue 15.2.4 		Toutes les versions depuis PcVue 8.10 SB2022-7
2022-6 Terminé 20 décembre 2022 Une vulnérabilité de type Insertion d'informations sensibles dans un fichier journal affecte la configuration de DbConnect.
CVE Id : CVE-2022-4311
Corrigé dans PcVue 15.2.3. 		PcVue 15 SB2022-6
2022-5 Terminé 23 janvier 2023 Une vulnérabilité de type déni de service affecte le pilote client IEC 61850 et l'interface ICCP/TASE.2.
CVE-2022-38138
Correction dans PcVue 12.0.28 et PcVue 15.2.3 		IEC 61850 : PcVue 10.0 et suivants
ICCP/TASE.2 : PcVue 15.1 		SB2022-5
2022-4 Terminé 19 septembre 2022 Une vulnérabilité affecte la configuration du service web OAuth.
CVE-2022-2569
Correction dans PcVue 12.0.27 et PcVue 15.2.3 		PcVue 12
PcVue 15 		SB2022-4
2022-3 Terminé 7 janvier 2022 Lors du concours Pwn2Own de Miami, la Zero Days Initiative (ZDI) a signalé de multiples vulnérabilités.
- CVE-2022-29862 - Boucle de certificat enchaîné PoD
- CVE-2022-29864 - DoS de décrémentation du compteur de référence
Corrigé dans la version 1.5.10 de UaGateway 		Versions de UaGateway antérieures à 1.5.10 Pour plus de détails, reportez-vous aux bulletins de sécurité d'Unified Automation.
2022-2 Terminé 5 juillet 2022 CVE-2021-45117 - Fondation OPC, piles ANSI C autogénérées
CVE-2022-0778 - Bibliothèque OpenSSL
Corrigé dans la version 1.5.9 de UaGateway 		Versions de UaGateway antérieures à 1.5.9 Pour plus de détails, reportez-vous aux bulletins de sécurité d'Unified Automation.
2022-1 Terminé 28 février 2022 Vulnérabilités d'escalade de privilèges dans Ocean Data Systems Dream Report.
- Rapport de rêve 5 : CVE-2020-13532, CVE-2020-13533, CVE-2020-13534
- Rapport de rêve 2020 : CVE-2021-21957
Correction dans Dream Report 2020 R2 SP1 		Rapport de rêve
2021-1 Terminé 16 décembre 2021 Calendrier et problèmes liés à la vulnérabilité d'Apache Log4j
CVE-2021-44228, CVE-2021-45046 		SB2021-1
2020-1 Terminé 2 août 2021 3 vulnérabilités affectent l'interface entre le back-end Web & Mobile et les services web hébergés dans Microsoft IIS
CVE-2020-26867, CVE-2020-26868, CVE-2020-26869 		PcVue 8.10 et versions ultérieures SB2020-1
2018-1 Terminé 22 janvier 2018 ICS-ALERT-18-011-01B: Calendrier et préoccupations concernant les mises à jour de Microsoft Windows destinées à atténuer les vulnérabilités Meltdown et Spectre PcVue,
FrontVue,
PlantVue,
Produits partenaires 		SB2018-1
2012-2 Terminé 30 août 2012 ICSA-12-024-01: Ocean Data Systems Dream Reports XSS et violations d'accès en écriture.
CVE-2011-4038, CVE-2011-4039 		Versions de Dream Report antérieures à 4.0 -
2012-1 Terminé 21 novembre 2014 ActiveBar, un composant tiers utilisé dans nos produits, fait l'objet d'une alerte. Pour plus d'informations, voir Microsoft KB2562937
Microsoft a publié une mise à jour de sécurité de Windows pour résoudre ce problème en août 2011. 		PcVue 6.0 et versions ultérieures,
FrontVue - Toutes les versions,
PlantVue - Toutes les versions 		SB2012-1
2011-1 Terminé 21 novembre 2014 ICS-ALERT-11-271-01: Vulnérabilités ActiveX multiples de PcVue HMI/SCADA
CVE-2011-4042, CVE-2011-4043, CVE-2011-4044, CVE-2011-4045 		PcVue 6.0 et versions ultérieures,
FrontVue - Toutes les versions,
PlantVue - Toutes les versions
 SB2011-1