Un engagement en faveur de la sécurité et de la fiabilité
March Networks s'engage à garantir la sécurité et la fiabilité de tous ses produits. Nous nous efforçons de répondre de manière proactive aux menaces de sécurité dès qu'elles sont signalées par l'US Computer Emergency Readiness Team (US-CERT). Lorsque nous apprenons l'existence de vulnérabilités potentielles, notre équipe mène immédiatement des enquêtes approfondies sur l'ensemble de nos gammes de produits. Le cas échéant, nous prenons des mesures immédiates pour préparer des mises à jour de logiciels et de micrologiciels et pour vous avertir de la disponibilité de ces mises à jour.
Signaler les vulnérabilités de sécurité à March Networks
Si vous pensez avoir identifié une faille de sécurité dans un produit March Networks , veuillez nous contacter immédiatement à l'adresse securityalert@marchnetworks.com.
Nous apprécions le travail des chercheurs en sécurité indépendants qui identifient les vulnérabilités et suivent des pratiques de divulgation responsables.
Avis de sécurité
Les précédentes mises à jour de sécurité concernant les produits March Networks sont listées ci-dessous, ainsi que les versions logicielles correspondantes dans lesquelles la vulnérabilité a été corrigée. Les mises à jour logicielles sont publiées sur notre portail partenaires, et peuvent également être trouvées sur notre page de téléchargement de logiciels.
Si vous n'avez pas accès à notre portail partenaire, contactez votre fournisseur de solutions certifié March Networks pour obtenir de l'aide.
| CVE(s) | Résumé de l'avis | Produits ou composants | Abordé dans le communiqué | Sévérité |
|---|---|---|---|---|
| 6387 | Une vulnérabilité d'exécution de code non authentifiée à distance (RCE) dans le serveur OpenSSH fonctionnant sur des systèmes basés sur Linux a été découverte et vérifiée sur un processeur 32 bits basé sur Intel. | NVRs 8000, NVRs 9000, NVRs RideSafe GT/MT/RT | Patch 42339 R1.0 pour 5.26.0.0047 (GA) et 5.27.0.0049 (GA) | Haut |
| CVE-2022-40735, CVE-2002-20001, CVE-2023-48795, CVE-2023-46445, CVE-2023-46446 | Récemment, le NIST a mis à jour les vulnérabilités CVE-2022-40735 et CVE-2002-20001 pour établir un lien avec un document de l'IEEE présentant une attaque pratique par déni de service contre l'échange de clés Diffie-Hellman à champ fini. L'attaque est connue sous le nom de DHEat et est considérée comme une vulnérabilité élevée. Le service SSH présent dans les enregistreurs R5 permet l'utilisation d'un échange de clés Diffie-Hellman, il y a donc un risque d'attaque par déni de service. Nous publions un correctif qui corrige ce problème, en supprimant l'échange de clés Diffie-Hellman. Ce correctif corrige également les vulnérabilités CVE-2023-48795, CVE-2023-46445 et CVE-2023-46446, une vulnérabilité SSH de niveau moyen connue sous le nom de Terrapin. | NVRs 8000, NVRs 9000, NVRs RideSafe GT/MT/RT | 5.27.0.0049 (GA) Patch 42114 R1.0 pour 5.25.0.0127 (GA) et 5.26.0.0047 (GA) | Haut |
| Voir la section sur l'impact dans l'avis | Azul Zulu OpenJDK vulnérabilités sur le code non fiable et l'API réseau. Certains scanners de sécurité, exécutés directement sur le serveur hébergeant Command Enterprise, détectent la version d'Azul à partir de ses fichiers de configuration, et listent toutes les CVE potentielles divulguées dans les notes de publication d'Azul, sans vérifier si les composants associés sont installés ou utilisés. | Command Enterprise | Pas d'impact sur les produits de March Networks | N/A |
| 0230 | Déni de service basé sur l'approximation du numéro de séquence TCP. Certains scanners de sécurité, exécutés directement sur le serveur hébergeant Command Enterprise, détectent la version d'Azul à partir de ses fichiers de configuration, et listent toutes les CVE potentielles divulguées dans les notes de publication d'Azul, sans vérifier si les composants associés sont installés, ou comment ils sont utilisés. | Voir la section sur l'impact dans l'avis | Pas d'impact sur les produits de March Networks | N/A |
| 4863 | Exécution d'une injection de code libwebp dans les clients utilisant Command Client | Command Client | Command Client 2.18.0 et plus, 2.17.2 et 2.16.3 | Critique |
| CVE-2020-15778, CVE-2018-15473, CVE-2021-28041, CVE-2021-41617, CVE-2020-14145 | Mise à jour d'OpenSSH pour éviter de multiples vulnérabilités de sécurité moyennes. | Séries 8000, 9000 et RideSafe GT/MT/RT | Patch disponible pour 5.24.0.0067 (GA) et 5.24.0.1001 (SP1) | Moyen |
| N/A | Certains scanners de sécurité montrent que les méthodes HTTP OPTIONS/DELETE sont activées, signalant une vulnérabilité potentielle sans autre vérification, ce qui déclenche une fausse alarme sur Command Enterprise. | Command Enterprise | Pas d'impact sur les produits de March Networks | N/A |
| N/A | Les enregistreurs March Networks des séries 8000, 9000 et RideSafe (R5) permettent aux caméras et aux encodeurs de demander une authentification à l'aide de protocoles faibles (NTLMv2 et authentification de base). | Enregistreurs des séries 8000, 9000 et RideSafe | Visual Intelligence Software Suite 5.24.0.0067 | Haut |
| N/A | Un utilisateur autorisé de Command Enterprise pourrait falsifier un message de contrôle via l'API de Command afin de modifier la visibilité des ressources en dehors des accès approuvés. | Command Enterprise | 2.16.0 | Haut |
| CVE-2022-3786, CVE-2022-3602 | Débordements de l'adresse électronique des certificats X.509 dans OpenSSL 3.0.0-3.06. Nos produits n'utilisent aucune des versions d'OpenSSL concernées par ce problème. | Tous | Pas d'impact sur les produits de March Networks | N/A |
| 22965 | Un attaquant peut injecter une exécution de code à distance en exploitant une application Spring fonctionnant avec le JDK 9 ou supérieur. | Pas d'impact sur les produits de March Networks | N/A | |
| CVE-2022-23302, CVE-2022-23305, CVE-2022-23307 | Un attaquant peut injecter l'exécution de code à distance en exploitant les composants et fonctions de Log4j 1.2 qui ne sont pas activés ou utilisés par défaut : la sérialisation dans JMSSink, les injections SQL dans JDBCAppender, et Apache Chainsaw pour visualiser les journaux avec un visualiseur de journaux basé sur une interface graphique dédiée. Les versions de Command Enterprise jusqu'à 2.14 utilisent Apache Log4j 1.x sans activer aucun des composants et fonctions susmentionnés. Un attaquant devra disposer d'un accès privilégié à Command Enterprise pour les activer, et ce dernier n'est donc pas affecté par les exploits. Pour éviter toute confusion autour de ces vulnérabilités, et pour une meilleure maintenance future, dans Command Enterprise 2.14.1, nous avons remplacé Log4j par Reload4j, une alternative moderne à ce dernier. | Command Enterprise 2.14.1 | Faible | |
| 45105 | Un attaquant peut provoquer un déni de service lors de l'interprétation d'une chaîne de caractères élaborée en raison d'une récursion incontrôlée à partir de recherches autoréférentielles. Command Enterprise utilise Apache Log4j 1.x, qui n'est pas affecté par cette vulnérabilité. | Pas d'impact sur les produits de March Networks | N/A | |
| 4104 | Un attaquant peut exploiter la configuration de Log4j 1.2, non activée par défaut, pour une fonction appelée JMSAppender. Cette fonction peut conduire à l'exécution de requêtes JNDI, entraînant l'exécution de code à distance de manière similaire à la CVE-2021-44228. Command Enterprise utilise Apache Log4j 1.x, sans activer JMSAppender. Un attaquant devra déjà disposer d 'un accès privilégié à Command Enterprise pour l'exploiter en s'appuyant sur cette vulnérabilité. | Command Enterprise 2.14.1 | Faible | |
| N/A | Les identifiants d'authentification sont imprimés en clair dans les journaux des appareils, après leur premier approvisionnement. Le numéro de série de l'appareil peut être modifié en poussant la configuration avec la gestion de masse de Command Enterprise ou en utilisant une API réservée. | Série VA 1.1.1 Série ME6 1.1.4 SE2 Caméra ATM 1.1.1 SE2 Fleet Wedge Camera 1.1.1 SE2 Fleet Dash Camera 1.1.1 SE2 PTZ encastrées et suspendues 30X 1.0.9 ME3 PTZ IR suspendu 40X 1.0.9 SE4 IR DuraBullet 1.0.10 | Série VA 1.1.2 Série ME6 1.1.5 SE2 Caméra ATM 1.1.2 SE2 Fleet Wedge Camera 1.1.2 SE2 Fleet Dash Camera 1.1.2 SE2 PTZ encastrées et suspendues 30X 1.0.10 ME3 PTZ IR suspendu 40X 1.0.10 SE4 IR DuraBullet 1.0.11 | Haut |
| 44228 | Un attaquant peut exécuter un code arbitraire en injectant des données contrôlées par l'attaquant dans un message enregistré avec les versions de la bibliothèque Apache Log4j2 comprises entre 2.0.0 et 2.14.1. Command Enterprise utilise Apache Log4j 1.x, qui n'est pas affecté par cette vulnérabilité. | Pas d'impact sur les produits de March Networks | N/A | |
| N/A | Certaines versions de l'Admin Console permettent des authentifications de base sur des connexions HTTP vers Command Enterprise. | Admin Console version 5.17, 5.19, 5.20 (y compris tous les Service Packs antérieurs aux versions contenant le correctif) | 5.17 SP3, 5.19 SP3, 5.20 SP2. Les versions inférieures à 5.17 et supérieures à 5.20 ne sont pas concernées. | Haut |
| N/A | Vulnérabilité des appareils basés sur la technologie Xiaongmai | Pas d'impact sur les produits de March Networks | N/A | |
| 9163 | Exécution d'une injection de code XAML dans les clients exécutant Command Client | Command Client | Command Client 2.7.2 | Critique |
| 2422 | Vulnérabilité dans le composant Java SE d'Oracle Java SE | Pas d'impact sur les produits de March Networks | N/A | |
| 2426 | Vulnérabilité dans le composant Java SE d'Oracle Java SE | Pas d'impact sur les produits de March Networks | N/A | |
| 2449 | Vulnérabilité dans le composant Java SE d'Oracle Java SE | Pas d'impact sur les produits de March Networks | N/A | |
| 11219 | iLnkP2p | Pas d'impact sur les produits de March Networks | N/A | |
| 11220 | iLnkP2p | Pas d'impact sur les produits de March Networks | N/A | |
| 1149 | cgi_system dans NVRMini2 3.8.0 de NUUO | Pas d'impact sur les produits de March Networks | N/A | |
| 1150 | NVRMini2 de NUUO 3.8.0 | Pas d'impact sur les produits de March Networks | N/A | |
| 10933 | Contournement de l'authentification de Libssh | Pas d'impact sur les produits de March Networks | N/A | |
| 11212 | Vulnérabilité dans le composant Java SE d'Oracle Java SE | Pas d'impact sur les produits de March Networks | N/A | |
| 5754 | Chargement du cache de données Rogue (Meltdown) | Appareils Edge OS 2.x; 6000, 8000, 9000, GT, enregistreurs de la série MT et série ME4 | Pas nécessaire pour l'instant | Faible |
| 5754 | Chargement du cache de données Rogue (Meltdown) | Tous nos logiciels qui peuvent être installés sur un système d'exploitation Windows | Patchs de sécurité Microsoft uniquement | Moyen |
| 5753 | Contournement du contrôle des limites | Appareils Edge OS 2.x; 6000, 8000, 9000, GT, MT Series Recorders ; Encodeurs Edge 4 et Edge 16 ; Série ME4 | Pas nécessaire pour l'instant | Faible |
| 5753 | Contournement du contrôle des limites | Tous nos logiciels qui peuvent être installés sur un système d'exploitation Windows | Patchs de sécurité Microsoft uniquement | Moyen |
| 5715 | Injection de cible de branche (Spectre) | Appareils Edge OS 2.x; 6000, 8000, 9000, GT, MT Series Recorders ; Série ME4 | Pas nécessaire pour l'instant | Faible |
| 5715 | Injection de cible de branche (Spectre) | Tous nos logiciels qui peuvent être installés sur un système d'exploitation Windows | Patchs de sécurité Microsoft uniquement | Moyen |
| 9765 | gSOAP | Divers appareils Edge OS 1.x et 2.x | Se référer au tableau | Moyen |
| 5638 | Analyseur multipart Apache Struts Jakarta | Pas d'impact sur les produits de March Networks | N/A | |
| 0800 | Attaque inter-protocoles sur TLS utilisant SSLv2 (DROWN) | Tous | Pas d'impact sur les produits de March Networks | N/A |
| CVE-2015-1798 CVE-2015-1799 | NTP Attaques MiM/DOS | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.10 | Moyen |
| N/A | La chaîne de certificats SSL contient des clés RSA inférieures à 2048 bits | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.10 | Moyen |
| 2808 | Suites de chiffrement SSL RC4 prises en charge | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.10 | Moyen |
| N/A | Linux/Moose | Pas d'impact sur les produits de March Networks | Moyen | |
| 4000 | Attaque de blocage | Pas d'impact sur les produits de March Networks | Moyen | |
| 0247 | e2fsprogs | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.9 SP1 | Moyen |
| 0235 | Fantôme | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.9 SP1 | Moyen |
| 0235 | Fantôme | Visual Intelligence (R5) Série 3000 | 5.5.1 SP18 | Moyen |
| CVE-2015-0293 et autres | OpenSSL 0.9.8zf | Visual Intelligence (R5) Série 3000 | 5.5.1 SP18 | Haut |
| N/A | OpenSSL | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.9 | Faible |
| N/A | Utilitaires NTP | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.9 | Faible |
| N/A | Ouvrir SSH | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.9 | Faible |
| 0204 | Vulnérabilité SSL/TLS de FREAK | Tous | Pas d'impact sur les produits de March Networks | N/A |
| 0204 | Vulnérabilité SSL/TLS de FREAK | Appareils Edge OS 1.x | 1.10.6 | Moyen |
| 0235 | Exécution de code à distance sous Linux "Ghost | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.9 | Faible |
| 0160 | Paquets d'extension du rythme cardiaque | Appareils Edge OS 1.x | 1.10.4 | Moyen |
| 2609 | Vulnérabilités multiples du serveur Oracle GlassFish | Command Enterprise | 1.8.0 | Moyen |
| 0224 | Vulnérabilité MiTM "ChangeCipherSpec" d'OpenSSL | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.5 - SP1 5.7.7 | Haut |
| 0224 | Vulnérabilité MiTM "ChangeCipherSpec" d'OpenSSL | Intelligence visuelle (R5) 3204 | 5.5.1 - SP17 | Haut |
| 0224 | Vulnérabilité MiTM "ChangeCipherSpec" d'OpenSSL | Enregistreur de commandes | 1.8.0 | Haut |
| 3566 | Protocole SSL 3.0 | Appareils Edge OS 1.x | 1.10.6 | Moyen |
| 0224 | Vulnérabilité MiTM "ChangeCipherSpec" d'OpenSSL | Appareils Edge OS 1.x | 1.10.6 | Faible |
| 6271 | Vulnérabilité de GNU Bash entraînant l'exécution de code à distance | Non applicable aux produits March Networks | N/A | |
| 5211 | Vulnérabilité de NTP MONLIST | Intelligence visuelle (R5) 8000 4000 (Gen 4) | 5.7.2 - SP2 5.7.3 - SP4 5.7.4 - SP3 5.7.8 - SP1 | Haut |
| 5211 | Vulnérabilité de NTP MONLIST | Série 5000 | 4.9.1 - DVR R4 | Haut |
| 0920 | Vulnérabilité du serveur SSH Dropbear | Appareils Edge OS 1.x | 1.10.5 | Moyen |