| CVE | N/A |
|---|---|
| Résumé de l'avis | Certains scanners de sécurité montrent que les méthodes HTTP OPTIONS/DELETE sont activées, signalant une vulnérabilité potentielle sans autre vérification, ce qui déclenche une fausse alarme sur Command Enterprise. |
| Produits ou composants | Command Enterprise |
| Abordé dans le communiqué | Pas d'impact sur les produits de March Networks |
| Sévérité | N/A |
| Billet | 29 |
Description
Certains scanners de sécurité indiquent que les méthodes HTTP OPTIONS/DELETE sont activées, signalant ainsi une vulnérabilité potentielle sans autre vérification.
Dans les anciens serveurs web, les méthodes HTTP OPTIONS et DELETE n'étaient pas largement utilisées et n'étaient pas normalisées dans le cadre de la spécification HTTP. Leur utilisation et leur fonctionnalité variaient selon les serveurs et les implémentations. HTTP OPTIONS était principalement utilisé comme méthode expérimentale pour récupérer des informations sur les options de communication du serveur, mais son utilisation et son objectif n'étaient pas cohérents d'un serveur à l'autre. La méthode HTTP DELETE était utilisée dans certains cas pour demander la suppression d'un fichier, mais il ne s'agissait pas d'une méthode normalisée pour la suppression de fichiers sur le web.
De nos jours, la méthode HTTP OPTIONS est largement utilisée comme moyen standard pour les clients de demander des informations sur les options de communication disponibles pour une ressource dans une API RESTful, y compris les méthodes prises en charge, tandis que la méthode HTTP DELETE est utilisée comme moyen standard pour demander la suppression d'une ressource. Il est important de noter que REST n'est qu'un style architectural et que sa mise en œuvre peut varier. Toutefois, le respect des meilleures pratiques REST et l'utilisation de mesures de sécurité établies, telles que la transmission sécurisée des données via TLS et la validation appropriée des entrées, peuvent contribuer à réduire le risque de vulnérabilités en matière de sécurité dans une application RESTful.
Impact
L'API RESTful utilisée dans notre Command Enterprise ne permet l'exécution de ces méthodes qu'après vérification de l'autorisation, et uniquement en utilisant des canaux cryptés TLS, de sorte que la présence de ces méthodes n'a aucune incidence sur sa sécurité.
Révision
3 février 2023 - Rapport public initial
Clause de non-responsabilité
L'évaluation par March Networksde cette faille de sécurité dépend de la mise à jour des produits March Networks à la version recommandée et/ou au niveau du correctif de sécurité et du fait que le système a été déployé et configuré conformément aux recommandations de sécurité de March Networks et aux meilleures pratiques de l'industrie. IL EST DE LA RESPONSABILITÉ DU CLIENT D'ÉVALUER L'EFFET DE TOUTE FAILLE DE SÉCURITÉ. Le fait de ne pas mettre à jour les produits de March Networks et/ou de ne pas suivre les recommandations de March Networks ou les meilleures pratiques du secteur peut accroître le risque associé à une faille de sécurité. March Networks suit les meilleures pratiques de l'industrie pour remédier aux failles de sécurité de ses produits. Bien que March Networks ne puisse garantir que ses produits seront exempts de failles de sécurité, il s'engage à fournir des mises à jour et des correctifs de sécurité pour les produits qu'il prend en charge, s'il est établi qu'une faille de sécurité importante affecte les produits March Networks .