| CVE | Voir la section sur l'impact dans l'avis |
|---|---|
| Résumé de l'avis | Certains scanners de sécurité, exécutés directement sur le serveur hébergeant Command Enterprise, détectent la version d'Azul à partir de ses fichiers de configuration, et listent toutes les CVE potentielles divulguées dans les notes de mise à jour d'Azul, sans vérifier si les composants associés sont installés ou comment ils sont utilisés. |
| Produits ou composants | Command Enterprise |
| Abordé dans le communiqué | Pas d'impact sur les produits de March Networks |
| Sévérité | N/A |
| Billet | 116 |
Description
Certains scanners de sécurité, exécutés directement sur le serveur hébergeant Command Enterprise, détectent la version d'Azul à partir de ses fichiers de configuration et listent toutes les CVE potentielles divulguées dans les notes de mise à jour d'Azul sans vérifier si les composants concernés sont impactés, utilisés ou même installés. En général, ces problèmes sont liés à l'exécution de données de chargement d'API réseau ou au chargement de code non fiable à partir du réseau. Les services Command Enterprise basés sur WSDL effectuent des contrôles de sécurité sur les données et n'exécutent pas de code non fiable. Dans certains cas, les composants concernés ne sont même pas installés. Command Enterprise 2.15, 2.16, et 2.17 utilisent Azul Zulu OpenJDK version 11.48 (CA), pour laquelle plusieurs correctifs pour des CVE connues ont été publiés. Voir ceux relatifs à Azul Zulu 11 dans :
- https://docs.azul.com/core/release/july-2021/release-notes
- https://docs.azul.com/core/release/october-2021/release-notes
- https://docs.azul.com/core/release/january-2022/release-notes
- https://docs.azul.com/core/release/april-2022/release-notes
- https://docs.azul.com/core/release/july-2022/release-notes
- https://docs.azul.com/core/release/october-2022/release-notes
- https://docs.azul.com/core/release/january-2023/release-notes
- https://docs.azul.com/core/release/april-2023/release-notes
- https://docs.azul.com/core/release/july-2023/release-notes
Toutes les CVE liées à Azul Zulu 11 listées dans les liens ci-dessus n'ont pas d'impact sur Command Enterprise 2.15, 2.16, 2.17, ou sont des vulnérabilités faibles ou moyennes. Toutes ces vulnérabilités ont été corrigées depuis Command Enterprise 2.18. Command Enterprise 2.18 et 2.19 utilisent Azul Zulu OpenJDK version 11.66 (CA), pour laquelle plusieurs correctifs pour des CVE connues ont été publiés. Voir ceux relatifs à Azul Zulu 11 dans :
- https://docs.azul.com/core/release/october-2023/release-notes
- https://docs.azul.com/core/release/january-2024/release-notes
- https://docs.azul.com/core/release/april-2024/release-notes
- https://docs.azul.com/core/release/july-2024/release-notes
- https://docs.azul.com/core/release/october-2024/release-notes
Toutes les CVE liées à Azul Zulu 11 listées dans les liens ci-dessus n'ont pas d'impact sur Command Enterprise 2.18 ou 2.19 ou sur les vulnérabilités faibles et moyennes. Elles sont toutes corrigées depuis Command Enterprise 2.20. Command Enterprise 2.20 et 2.21 utilisent Azul Zulu OpenJDK version 11.76 (CA), pour laquelle plusieurs correctifs pour des CVE connues ont été publiés. Voir ceux relatifs à Azul Zulu 11 dans :
- https://docs.azul.com/core/release/january-2025/release-notes
- https://docs.azul.com/core/release/april-2025/release-notes
Toutes les CVE liées à Azul Zulu 11 listées dans les liens ci-dessus n'ont pas d'impact sur Command Enterprise 2.20 ou 2.21 ou sur les vulnérabilités faibles et moyennes. Toutes ces vulnérabilités sont de toute façon corrigées depuis Command Enterprise 2.22. Command Enterprise 2.22 utilise Azul Zulu OpenJDK version 11.80 (CA), pour laquelle plusieurs correctifs pour des CVE connues ont été publiés. Voir ceux relatifs à Azul Zulu 11 dans :
- https://docs.azul.com/core/release/july-2025/release-notes
- https://docs.azul.com/core/release/october-2025/release-notes
Toutes les CVE liées à Azul Zulu 11 listées dans les liens ci-dessus n'ont pas d'impact sur Command Enterprise 2.22, à l'exception de la vulnérabilité moyenne CVE-2025-53057, qui sera comblée dans une prochaine version de Command Enterprise.
March Networks surveille en permanence les nouveaux problèmes liés aux composants logiciels utilisés dans nos produits et services et communique leur impact conformément à nos politiques de sécurité. Pour les vulnérabilités importantes et critiques, nous envoyons une notification sur notre portail partenaires avant qu'elles ne soient rendues publiques. Pour les vulnérabilités moyennes et faibles, nous recommandons la mise à jour vers nos dernières versions.
Impact
Ci-dessous, nous dressons une liste exhaustive et détaillée de toutes les CVE ayant un correctif dans les versions 11.50 à 11.82 d'Azul Zulu, avec l'impact sur Command Enterprise.
| Libération Azul Zulu 11.50 | |
|---|---|
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| Libération Azul Zulu 11.52 | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, puisqu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'applique aux données chargées via une API réseau. Vulnérabilités à risque faible ou moyen comblées par Command Enterprise 2.18. | |
| Libération Azul Zulu 11.54 | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, puisqu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'applique aux données chargées via une API réseau. Vulnérabilités à risque faible ou moyen comblées par Command Enterprise 2.18. | |
| Libération Azul Zulu 11.56 | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, puisqu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'applique uniquement si la bibliothèque zlib est utilisée en dehors de l'environnement Java d'Azul Zulu. Aucun impact sur Command Enterprise, puisqu'il ne fournit pas d'accès à cette bibliothèque en dehors de l'environnement Java d'Azul Zulu. | |
| S'applique aux données chargées via une API de réseau. Aucun impact sur Command Enterprise, qui n'utilise l'API qu'avec des données fiables. | |
| S'applique aux données chargées via une API réseau. Vulnérabilités à risque faible ou moyen comblées par Command Enterprise 2.18. | |
| Libération Azul Zulu 11.58 | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, puisqu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'applique aux données chargées via un réseau API. Pas d'impact sur Command Enterprise. | |
| Libération Azul Zulu 11.60 | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, puisqu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'applique aux données chargées via une API réseau. Vulnérabilités à risque faible ou moyen, comblées avec Command Enterprise 2.18. | |
| Libération Azul Zulu 11.62 | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| Libération Azul Zulu 11.64 | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, puisqu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'applique aux données reçues ou envoyées par le biais d'une session TLS semi-duplex. Aucun impact sur Command Enterprise, puisqu'il reçoit ou envoie des données sensibles uniquement sur des sessions TLS full-duplex authentifiées. | |
| S'applique aux données chargées via une API réseau. Vulnérabilités à risque faible ou moyen, comblées avec Command Enterprise 2.18. | |
| Azul Zulu release 11.66 (utilisé depuis Command Enterprise 2.18) | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, puisqu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'appliquent aux données chargées via une API réseau. Vulnérabilités à faible risque, fermées avec Command Enterprise 2.18. | |
| Libération Azul Zulu 11.68 | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| Libération Azul Zulu 11.70 | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, puisqu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, qui n'utilise l'API qu'avec des données fiables. | |
| Libération Azul Zulu 11.72 | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, qui n'utilise l'API qu'avec des données fiables. | |
| Libération Azul Zulu 11.74 | |
| S'applique aux données chargées via une API de réseau. Faible impact sur Command Enterprise lorsque son paramètre TLS par défaut est utilisé. Nous recommandons de conserver la version TLS 1.2 au minimum et d'envisager l'utilisation de TLS 1.2 pour le chiffrement direct et le chiffrement fort (veuillez vous référer au guide d'installation pour plus de détails). Fermé avec Command Enterprise 2.20. | |
| S'applique aux données chargées via une API réseau. Vulnérabilités à risque faible ou moyen, comblées avec Command Enterprise 2.20. | |
| S'applique aux données chargées via une API de réseau. Pas d'impact sur Command Enterprise, puisqu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| Azul Zulu release 11.76 (utilisé depuis Command Enterprise 2.20) | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| S'applique aux données chargées via une API réseau. Vulnérabilités à risque faible ou moyen, comblées par Command Enterprise 2.22. | |
| Libération Azul Zulu 11.78 | |
| S'applique aux données chargées via une API réseau. Vulnérabilité à risque moyen, comblée par Command Enterprise 2.22. | |
| Libération Azul Zulu 11.80 | |
| Pas d'impact sur Command Enterprise, étant donné qu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'applique aux données chargées via une API de réseau. Faible impact sur Command Enterprise lorsque son paramètre TLS par défaut est utilisé. Nous recommandons de conserver la version TLS 1.2 au minimum et d'envisager l'utilisation de TLS 1.2 pour le chiffrement direct et le chiffrement fort (veuillez vous référer au guide d'installation pour plus de détails). Fermé avec Command Enterprise 2.22. | |
| S'applique aux données chargées via une API réseau. Vulnérabilité à risque moyen, comblée par Command Enterprise 2.22. | |
| Libération Azul Zulu 11.82 | |
| Ne s'applique que lors du chargement de code non fiable. Aucun impact sur Command Enterprise, puisqu'il n'exécute que du code de confiance, installé sur son serveur d'hébergement, sans rien charger depuis le réseau. | |
| Pas d'impact sur Command Enterprise, étant donné qu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| Libération Azul Zulu 11.84 | |
| Pas d'impact sur Command Enterprise, étant donné qu'il s'agit de composants ou de protocoles qui ne sont pas utilisés par l'entreprise. | |
| S'applique aux données chargées via une API de réseau. Vulnérabilité à risque moyen, qui sera comblée dans une prochaine version de Command Enterprise. |
Révision
21 octobre 2025 - Mise à jour du rapport public
Clause de non-responsabilité
L'évaluation par March Networksde cette faille de sécurité dépend de la mise à jour des produits March Networks à la version recommandée et/ou au niveau du correctif de sécurité, ainsi que du déploiement et de la configuration du système conformément aux recommandations de sécurité de March Networks et aux meilleures pratiques de l'industrie. IL EST DE LA RESPONSABILITÉ DU CLIENT D'ÉVALUER L'EFFET DE TOUTE FAILLE DE SÉCURITÉ. Le fait de ne pas mettre à jour les produits de March Networks et/ou de ne pas suivre les recommandations de March Networks ou les meilleures pratiques de l'industrie peut accroître le risque associé à une faille de sécurité. March Networks suit les meilleures pratiques de l'industrie pour remédier aux failles de sécurité de ses produits. Bien que March Networks ne puisse garantir que ses produits seront exempts de failles de sécurité, nous nous engageons à fournir des mises à jour et des correctifs de sécurité pour nos produits pris en charge si et lorsqu'il est établi qu'une faille de sécurité importante affecte les produits March Networks .