| CVE | 6387 |
|---|---|
| Resumen del asesoramiento | Se descubrió y verificó una vulnerabilidad de ejecución remota de código no autenticada (RCE) en el servidor OpenSSH que se ejecuta en sistemas basados en Linux en una CPU basada en Intel de 32 bits. Aunque nuestras grabadoras utilizan una CPU diferente, la vulnerabilidad es potencialmente aplicable también para estas CPUs y se clasifica como alta independientemente de cualquier plataforma HW. Se recomienda actualizar el servidor OpenSSH. |
| Productos o componentes | NVR 8000, NVR 9000, NVR RideSafe GT/MT/RT |
| Abordado en la publicación | Parche 42339 R1.0 para 5.26.0.0047 (GA) y 5.27.0.0049 (GA) |
| Gravedad | Alta |
| Billete | SV-139 |
Descripción
Se descubrió y verificó una vulnerabilidad de ejecución remota de código no autenticada (RCE) en el servidor OpenSSH que se ejecuta en sistemas basados en Linux en una CPU basada en Intel de 32 bits. Aunque nuestras grabadoras utilizan una CPU diferente, la vulnerabilidad es potencialmente aplicable también para estas CPUs y se clasifica como alta independientemente de cualquier plataforma HW. Se recomienda actualizar el servidor OpenSSH.
Impacto
El principal impacto es una posible ejecución remota de código no autenticada (más información aquí).
Solución
Actualice las grabadoras R5 que utilicen 5.26.0.0047 (GA) o 5.27.0.0049 (GA) con el parche 42339 R1.0. Las futuras versiones de R5 no se verán afectadas por estos problemas.
No aplique el parche 42114 R1.0 lanzado para el ataque DHeat sobre este parche ya que revertirá sus archivos a una versión anterior. El parche 42339 R1.0 también cubre todo lo que cubría el parche 42114 R1.0.
En el caso de versiones anteriores, limite el uso de la interfaz de aprovisionamiento sólo cuando sea necesario y únicamente en un entorno de confianza, y considere la posibilidad de desactivar la interfaz de aprovisionamiento poniéndose en contacto con nuestro servicio de asistencia técnica.
En caso de que los grabadores R5 se gestionen bajo Command Enterprise, recuerde a los clientes que 2.17 es la versión mínima compatible con los grabadores R5 en 5.26.0.0047 (GA), y 2.19 es la versión mínima compatible con los grabadores R5 en 5.27.0.0049 (GA).
Revisión
6 de septiembre de 2024 - Informe público inicial
Descargo de responsabilidad
La evaluación de March NetworksNetworks de esta vulnerabilidad de seguridad depende de que los productos de March Networks Networks se actualicen a la versión recomendada y/o al nivel de parche de seguridad y de que el sistema se implemente y configure de acuerdo con las recomendaciones de seguridad March Networks y las mejores prácticas de la industria. ES RESPONSABILIDAD DEL CLIENTE EVALUAR EL EFECTO DE CUALQUIER VULNERABILIDAD DE SEGURIDAD. No actualizar los productos de March Networks Networks y/o no seguir las recomendaciones de March Networks o las mejores prácticas de la industria puede aumentar el riesgo asociado con una vulnerabilidad de seguridad. March Networks sigue las prácticas líderes de la industria para abordar las vulnerabilidades de seguridad en nuestros productos. Aunque March Networks Networks no puede garantizar que nuestros productos estarán libres de vulnerabilidades de seguridad, nos comprometemos a proporcionar actualizaciones y correcciones de seguridad para nuestros productos compatibles siempre y cuando se determine que una vulnerabilidad de alta seguridad afecta a los productos de March Networks Networks.