| CVE | 4863 |
|---|---|
| Résumé de l'avis | Exécution d'une injection de code libwebp dans les clients utilisant Command Client |
| Produits ou composants | Command Client |
| Abordé dans le communiqué | Command Client 2.18.0 et plus, 2.17.2 et 2.16.3 |
| Sévérité | Critique |
| Billet | 96 |
Description
Une vulnérabilité de libwebp a été découverte qui pourrait permettre un débordement de tampon, pouvant conduire à l'exécution de code, lors du rendu d'une image webp malveillante.
Nous n'utilisons pas libwebp directement dans nos produits, mais dans Command Client nous intégrons CefSharp 99.2.140, un navigateur embarqué basé sur Chromium, avec un lien statique à l'intérieur de libwebp 1.2.2, affecté par le problème (corrigé dans CefSharp 116.0.230 qui inclut libwebp 1.3.2).
Command Client rend des pages web pour les fonctions suivantes :
- Intégration avec le service cloud Evidence Vault (depuis Command 2.11).
- Rendu de la page d'information configurée pour un enregistreur (depuis la commande 2.13). En général, cette page contient des informations configurables par l'utilisateur, comme les numéros de téléphone d'urgence et les procédures d'urgence.
- Intégration avec le service Searchlight Cloud (depuis Command 2.15).
- Accès au point final du fournisseur d'identité SAML (depuis la commande 2.17).
Toutes ces fonctions doivent être configurées à partir de la commande, en utilisant les droits de configuration nécessaires, et peuvent être utilisées pour diriger CefSharp vers une image webp malveillante.
Impact
Un Command Enterprise Software malveillant peut être configuré pour injecter une image webp malveillante dans l'une des fonctions de la description.
Les versions affectées de Command Client peuvent rendre l'image, donnant accès au système où le Command Client est utilisé, exposant son système de fichiers et permettant l'exécution de codes malveillants. Cet accès est limité aux droits de l'utilisateur qui a lancé Command Client.
Atténuations
L'impact de cette vulnérabilité peut être atténué si l'infrastructure du réseau est protégée contre la présence de services malveillants agissant comme des Command Enterprise Software, et contre la présence d'attaques de l'homme du milieu.
Une infrastructure de réseau fermée sera protégée contre les attaques venant de l'extérieur, tandis que pour celles qui pourraient survenir de l'intérieur, le risque pourrait être atténué en utilisant des certificats 802.1x, pris en charge dans notre solution, pour authentifier l'accès au réseau.
Solution
Mettez à jour le Command Client avec la version contenant la correction. Elles peuvent être téléchargées à partir du site web de March Networks ou du portail des partenaires de March Networks
La mise à jour de Command Enterprise Software vers au moins la version 2.18 entraînera automatiquement l'utilisation de la version correspondante du client.
Sur notre Portail Partenaires, les clients utilisant Command Enterprise Software 2.16 ou 2.17 trouveront un installateur Command Client 2.16 et 2.17 avec le correctif, qui peut être utilisé pour mettre à jour les postes de travail clients. Des installateurs côté serveur pour mettre à jour les déploiements de Command Enterprise 2.16 et 2.17 sont également disponibles, pour distribuer Command Client automatiquement et directement à partir de Command Enterprise.
Les clients qui utilisent Command Enterprise Software 2.15 et moins peuvent utiliser n'importe quel programme d'installation de Command Client avec le correctif, car ils sont rétrocompatibles et ne nécessitent aucune mise à jour de Command Enterprise ou de tout autre service ou dispositif.
Note complémentaire
Certains scanners de sécurité peuvent détecter un paquet Node.js Sharp dans Command Enterprise Software affecté par cette vulnérabilité. Ce paquetage est un vestige de l'environnement de développement de Web Client et n'est pas activement utilisé dans Command Enterprise Software ou dans l'un de nos clients, et il ne représente donc pas une réelle vulnérabilité de sécurité. Il sera supprimé avec la prochaine version du client Web, qui peut être installé séparément en tant qu'application Command Enterprise.
Téléchargements
Toutes les versions de nos logiciels pris en charge sont également disponibles sur le portail des partenaires de March Networks à l'adresse suivante : https://partners.marchnetworks.com/support/command-software/command-client/
Références
https://github.com/cefsharp/CefSharp/security/advisories/GHSA-j646-gj5p-p45g
Révision
21 décembre 2023 - Rapport public initial
Clause de non-responsabilité
L'évaluation par March Networksde cette faille de sécurité dépend de la mise à jour des produits March Networks à la version recommandée et/ou au niveau du correctif de sécurité et du fait que le système a été déployé et configuré conformément aux recommandations de sécurité de March Networks et aux meilleures pratiques de l'industrie. IL EST DE LA RESPONSABILITÉ DU CLIENT D'ÉVALUER L'EFFET DE TOUTE FAILLE DE SÉCURITÉ. Le fait de ne pas mettre à jour les produits de March Networks et/ou de ne pas suivre les recommandations de March Networks ou les meilleures pratiques du secteur peut accroître le risque associé à une faille de sécurité.
March Networks suit les pratiques de pointe de l'industrie pour remédier aux failles de sécurité de ses produits. Bien que March Networks ne puisse pas garantir que ses produits seront exempts de failles de sécurité, nous nous engageons à fournir des mises à jour et des correctifs de sécurité pour nos produits pris en charge, si et lorsqu'il est établi qu'une faille de sécurité importante affecte les produits March Networks