| CVE | N/A |
|---|---|
| Résumé de l'avis | Certaines versions de l'Admin Console permettent des authentifications de base sur des connexions HTTP vers Command Enterprise. |
| Produits ou composants | Admin Console version 5.17, 5.19, 5.20 (y compris tous les Service Packs antérieurs aux versions contenant le correctif) |
| Abordé dans le communiqué | La correction a été publiée dans les versions 5.17 SP3, 5.19 SP3 et 5.20 SP2. Les versions inférieures à 5.17 et supérieures à 5.20 ne sont pas concernées. |
| Sévérité | Haut |
| Billet | 31 |
Description
Lorsque l'Admin Console est configurée pour se connecter à Command Enterprise Software, les authentifications peuvent se faire via HTTP, même si un port HTTPS a été configuré. Cela peut conduire à la divulgation des identifiants d'accès au Command Enterprise Software .
Impact
Si l'Admin Console est utilisée dans un réseau non sécurisé, les identifiants d'accès au Command Enterprise Software peuvent être divulgués.
Atténuations
Veillez à ajouter " :" et le port HTTPS du Command Enterprise Software après l'adresse du Command Enterprise Software dans la configuration de l'Admin Console. N'utilisez pas l'Admin Console pour établir une connexion avec les caméras, en utilisant le proxy de l'enregistreur.
Solution
Téléchargez et déployez les versions de la console d'administration qui fournissent la correction, si votre version est affectée.
Téléchargements
Les dernières versions de l'Admin Console sont disponibles sur le portail des partenaires de March Networks à l'adresse suivante : https://partners.marchnetworks.com/resource-center/?q=&tags=W1siNzBjMDFiNzQtMzAyOC1lNjExLWJkZjgtMDYxYWY1NjI4OWE1Il1d
Crédits
March Networks souhaite remercier CC-Teknologies pour avoir signalé cette vulnérabilité.
Révision
12 octobre 2021 - Rapport public initial
Clause de non-responsabilité
L'évaluation par March Networksde cette faille de sécurité dépend de la mise à jour des produits March Networks à la version recommandée et/ou au niveau du correctif de sécurité et du fait que le système a été déployé et configuré conformément aux recommandations de sécurité de March Networks et aux meilleures pratiques de l'industrie. IL EST DE LA RESPONSABILITÉ DU CLIENT D'ÉVALUER L'EFFET DE TOUTE FAILLE DE SÉCURITÉ. Le fait de ne pas mettre à jour les produits de March Networks et/ou de ne pas suivre les recommandations de March Networks ou les meilleures pratiques du secteur peut accroître le risque associé à une faille de sécurité. March Networks suit les meilleures pratiques de l'industrie pour remédier aux failles de sécurité de ses produits. Bien que March Networks ne puisse garantir que ses produits seront exempts de failles de sécurité, il s'engage à fournir des mises à jour et des correctifs de sécurité pour les produits qu'il prend en charge, s'il est établi qu'une faille de sécurité importante affecte les produits March Networks .