Cyber security digital concept with shield
Cyber security abstract concept. 3D contour of shield icon on digital background. Computer safety symbol 3D illustration.

Traitement et communication des vulnérabilités des produits OMICRON

OMICRON prend très au sérieux les problèmes de vulnérabilité affectant nos produits, et nous apprécions et acceptons tous les rapports pouvant nous aider à améliorer leur sécurité. C’est pourquoi nous avons mis en place une approche systématique en matière de réception, de traitement et de communication de telles vulnérabilités.

Communication coordonnée

Nous sommes conscients de notre responsabilité dans l’amélioration du niveau de cybersécurité, notamment en ce qui concerne les infrastructures complexes. Nous tenons donc à informer nos clients des vulnérabilités validées et pertinentes affectant nos produits, dans la section Conseils en matière de sécurité ci-dessous. Néanmoins, pour prévenir tout risque inutile pour nos clients, nous encourageons quiconque détecterait une vulnérabilité à ne pas publier l’information avant que nous ayons évalué les options appropriées pour y remédier.

OMICRON Product Security Team

Chez OMICRON, nous avons une équipe dédiée à la sécurité des produits (Product Security Team), responsable de la gestion des problèmes de sécurité et de la prise des mesures de communication ultérieures. Leurs membres sont ravis de répondre à toute question relative à la vulnérabilité des produits OMICRON. Dans la mesure du possible, favorisez la communication par e-mails cryptés.

product-security@omicronenergy.com

Clé PGP publique4,90 kB
Empreinte digitale: 90F2 6F91 6186 22EA AFF1 06A0 F014 F4B8 C72E C818

Traitement des vulnérabilités et processus de communication

  

 

Pour garantir un traitement et une communication fiables et efficaces des problèmes de sécurité, nous avons mis en place un processus systématique complet. Vous trouverez ci-après le détail de chaque étape de ce processus.

1. Rapport

Nous invitons quiconque à signaler les problèmes de sécurité affectant les produits OMICRON.
Nous respectons votre confidentialité et ne publierons aucune information vous concernant sans votre consentement explicite.

Il est possible d’envoyer un problème de sécurité identifié de manière anonyme, mais si vous le souhaitez, nous porterons à votre crédit la détection de ce problème de vulnérabilité dans nos conseils en matière de sécurité.

Pour signaler un problème de vulnérabilité, contactez la Product Security Team susmentionnée. Détaillez au maximum le problème de sécurité, en mentionnant les informations suivantes dans votre rapport :

  • Produit OMICRON concerné et version détaillée
  • Description détaillée du problème de vulnérabilité
  • Si possible, joignez le code d’exploitation disponible ou l’approche, étape par étape, permettant de détecter la vulnérabilité
  • Envisagez-vous de rendre la vulnérabilité disponible publiquement ?

    •  

2. Analyse

Après réception de votre rapport, nous lancerons une analyse complète du problème de sécurité. Notre objectif est de reproduire le problème et d’identifier sa cause profonde.

3. Évaluation

Une fois l’analyse du problème de sécurité réalisée, nous poursuivrons avec l’évaluation de la probabilité d’occurrence et l’impact potentiel pour nos clients.

4. Traitement

En fonction de l’évaluation, nous pouvons prendre des mesures supplémentaires. Cela peut notamment inclure la fourniture d’un correctif aux clients concernés et, par conséquent, une communication structurée de la vulnérabilité.

5. Communication

Nous sommes conscients de notre responsabilité et de l’importance d’informer les clients concernés des problèmes de vulnérabilité pertinents affectant les produits OMICRON, afin d’empêcher toute conséquence néfaste. C’est pourquoi chaque problème de sécurité est pris au sérieux et que les clients concernés en seront informés.
Nous publierons les informations de communication suivantes :

  • Description de la vulnérabilité
  • Produits OMICRON concernés et version détaillée
  • Score CVSS
  • Entrée de la CVE (le cas échéant)
  • Étapes nécessaires pour remédier à la vulnérabilité
  • Crédits (si la personne ayant détecté le problème le souhaite)

    •  

Avis de sécurité

Vous trouverez ci-dessous tous les avis de sécurité qui ont été trouvés et publiés entre-temps.

ID Titre Produits concernés ID CVE Score CVSS Dernière mise à jour Télécharger

OSA-13

Vulnerabilities in DANEO 400 firmware image versions before 5.00.0007

DANEO 400

CVE-2016-2183
CVE-2023-48795
CVE-2005-4900
CVE-2004-2761

9.4
6.8
5.9
5.0

2025-04-09

OSA-12

3rd Party Vulnerabilities in CM-Line, CMS 356 and ARCO 400 embedded image versions

CMC 256plus, CMC 353, CMC 430, CMC 356, CMC 850, ARCO 400

CVE-2024-26659
CVE-2024-26716
CVE-2024-26731
CVE-2024-26964
CVE-2024-35857
CVE-2024-36941
CVE-2024-36904
CVE-2024-36896
CVE-2024-26933
CVE-2024-6387
CVE-2022-41409
CVE-2024-28757
CVE-2024-50602
CVE-2023-52425
CVE-2024-45490
CVE-2024-45491
CVE-2024-45492
CVE-2024-25062

7.4
7.4
8.1
6.2
7.0
8.1
8.1
6.2
5.5
8.1
7.5
7.5
7.5
7.5
8.1
8.1
8.1
8.1

2025-01-29

OSA-11

3rd Party Vulnerabilities affecting StationScout

StationScout 3.00

CVE-2024-26921
CVE-2024-36904
CVE-2024-36905
CVE-2024-35890
CVE-2024-36929
CVE-2024-37890
CVE-2024-37168

8.1
8.1
5.9
7.5
7.5
7.5
5.3

2024-11-25

OSA-10

3rd Party Vulnerabilities affecting StationGuard and StationScout

StationScout 2.40, StationGuard before 2.40

CVE-2023-6237
CVE-2023-6915
CVE-2023-39956
CVE-2023-44487
CVE-2023-52522
CVE-2024-22019
CVE-2024-26614

5.3
5.5
6.6
7.5
8.1
7.5
5.9

2024-05-27

OSA-9

3rd Party Vulnerabilities in CM-Line, CMS 356 and ARCO 400 embedded image versions

CMC 256plus, CMC 353, CMC 430, CMS 356, CMC 850, ARCO 400 with Images before v2.63

CVE-1999-0517
CVE-2019-20372
CVE-2020-11022
CVE-2020-11023

7.5
5.3
6.1
6.1

2024-03-29

OSA-8

Linux Kernel Vulnerability in IGB Driver affecting StationGuard and StationScout

StationGuard Image 2.10.0073, 2.20.0080, 2.21.0081, StationScout StationScout Image 2.10.0059, 2.20.0063, 2.21.0064

CVE-2023-45871

9.8

2023-11-22

OSA-7

3rd Party Vulnerabilities affecting StationGuard and StationScout

StationGuard < 2.30, StationScout < 2.30

CVE-2023-23919
CVE-2023-30589

7.5
8.2

2023-11-22

OSA-6

Incorrect Authorization Vulnerability in StationScout and StationGuard

StationGuard StationGuard Image 1.10.0056 - 2.20.0080, StationScout StationScout Image 1.30.0040 - 2.20.0063

CVE-2023-28611

10

2023-11-22

OSA-5

Vulnerability in Update Process of StationScout and StationGuard < 2.21

StationGuard StationGuard Image all before 2.20.0080, StationScout StationScout Image all before 2.20.0063

CVE-2023-28610

10

2023-11-22

OSA-4

3rd Party Vulnerabilities affecting StationGuard and StationScout < 2.20

StationGuard < 2.20, StationScout < 2.20

CVE-2018-25032
CVE-2022-0778
CVE-2022-32223
CVE-2022-20368

7.5
7.5
7.3
7.8

2023-11-22

OSA-3

3rd Party Vulnerabilities affecting StationGuard image < 2.00

StationGuard StationGuard Image all before 1.10.0056

CVE-2021-37701
CVE-2021-37712

5
5

2023-11-22

OSA-2

Multiple 3rd Party Denial-of-Service Vulnerabilities in StationGuard and StationScout < 2.0

StationGuard StationGuard Image all before 1.10.0056, StationScout StationScout Image all before 1.30.0040

CVE-2020-8265
CVE-2021-23840
CVE-2021-3449
CVE-2021-22930

8.1
7.5
5.9
7.5

2022-11-22

OSA-1

Denial-of-Service Vulnerability in StationGuard 1.0

StationGuard StationGuard Image 1.00.0048

CVE-2021-30464

7.5

2022-11-22

Restez informé

Vous trouverez ci-dessous nos flux RSS spécifiques aux produits pour rester informé des nouveaux avis de sécurité ou des mises à jour. Sélectionnez simplement le produit souhaité pour recevoir le lien RSS correspondant qui peut être intégré dans un lecteur RSS de votre choix

Vous utilisez une ancienne version de votre navigateur.
Merci de mettre à jour votre navigateur ou d’utiliser un autre navigateur pour afficher cette page correctement.
×