| CVE | 6387 |
|---|---|
| Résumé de l'avis | Une vulnérabilité d'exécution de code non authentifiée à distance (RCE) dans le serveur OpenSSH fonctionnant sur des systèmes basés sur Linux a été découverte et vérifiée sur un processeur 32 bits basé sur Intel. Bien que nos enregistreurs utilisent un processeur différent, la vulnérabilité est potentiellement applicable à ces processeurs et est classée comme élevée quelle que soit la plate-forme matérielle. Une mise à jour du serveur OpenSSH est recommandée. |
| Produits ou composants | NVRs 8000, NVRs 9000, NVRs RideSafe GT/MT/RT |
| Abordé dans le communiqué | Patch 42339 R1.0 pour 5.26.0.0047 (GA) et 5.27.0.0049 (GA) |
| Sévérité | Haut |
| Billet | 139 |
Description
Une vulnérabilité d'exécution de code non authentifiée à distance (RCE) dans le serveur OpenSSH fonctionnant sur des systèmes basés sur Linux a été découverte et vérifiée sur un processeur 32 bits basé sur Intel. Bien que nos enregistreurs utilisent un processeur différent, la vulnérabilité est potentiellement applicable à ces processeurs et est classée comme élevée quelle que soit la plate-forme matérielle. Une mise à jour du serveur OpenSSH est recommandée.
Impact
Le principal impact est une exécution potentielle de code à distance non authentifiée (plus d'informations ici).
Solution
Mettez à jour les enregistreurs R5 utilisant les versions 5.26.0.0047 (GA) ou 5.27.0.0049 (GA) avec le correctif 42339 R1.0. Les prochaines versions de R5 ne seront pas affectées par ces problèmes.
N'appliquez pas le correctif 42114 R1.0 publié pour l'attaque DHeat par-dessus ce correctif, car il ramènerait ses fichiers à une version antérieure. Le correctif 42339 R1.0 couvre également tout ce qui était couvert par le correctif 42114 R1.0.
Pour les versions plus anciennes, limitez l'utilisation de l'interface de provisionnement aux cas où cela est nécessaire et uniquement dans un environnement de confiance, et envisagez de désactiver l'interface de provisionnement en contactant notre support technique.
Dans le cas où les enregistreurs R5 sont gérés sous Command Enterprise, veuillez rappeler aux clients que la version 2.17 est la version minimale qui supporte les enregistreurs R5 à 5.26.0.0047 (GA), et que la version 2.19 est la version minimale qui supporte les enregistreurs R5 à 5.27.0.0049 (GA).
Révision
6 septembre 2024 - Rapport public initial
Clause de non-responsabilité
L'évaluation par March Networksde cette faille de sécurité dépend de la mise à jour des produits March Networks à la version recommandée et/ou au niveau du correctif de sécurité, ainsi que du déploiement et de la configuration du système conformément aux recommandations de sécurité de March Networks et aux meilleures pratiques de l'industrie. IL EST DE LA RESPONSABILITÉ DU CLIENT D'ÉVALUER L'EFFET DE TOUTE FAILLE DE SÉCURITÉ. Le fait de ne pas mettre à jour les produits de March Networks et/ou de ne pas suivre les recommandations de March Networks ou les meilleures pratiques de l'industrie peut accroître le risque associé à une faille de sécurité. March Networks suit les meilleures pratiques de l'industrie pour remédier aux failles de sécurité de ses produits. Bien que March Networks ne puisse garantir que ses produits seront exempts de failles de sécurité, nous nous engageons à fournir des mises à jour et des correctifs de sécurité pour nos produits pris en charge si et lorsqu'il est établi qu'une faille de sécurité importante affecte les produits March Networks .