| CVE | 4863 |
|---|---|
| Sintesi della consulenza | Esecuzione di iniezione di codice libwebp nei client che eseguono Command Client |
| Prodotti o componenti | Command Client |
| Affrontato nella pubblicazione | Command Client 2.18.0 e successivi, 2.17.2 e 2.16.3 |
| Gravità | Critico |
| Biglietto | SV-96 |
Descrizione
È stata riscontrata una vulnerabilità di libwebp che potrebbe consentire un buffer overflow, che potrebbe portare all'esecuzione di codice, durante il rendering di un'immagine webp dannosa.
Non utilizziamo libwebp direttamente nei nostri prodotti, ma in Command Client integriamo CefSharp 99.2.140, un browser incorporato basato su Chromium, con un collegamento statico a libwebp 1.2.2, affetto dal problema (risolto in CefSharp 116.0.230 che include libwebp 1.3.2).
Command Client esegue il rendering delle pagine web per le seguenti funzioni:
- Integrazione con il servizio cloud Evidence Vault (da Command 2.11).
- Rendering della pagina informativa configurata per un registratore (da Command 2.13). Di solito, questa pagina contiene informazioni configurabili dall'utente, come numeri di telefono di emergenza e procedure di emergenza.
- Integrazione con il servizio Searchlight Cloud (da Command 2.15).
- Accesso all'endpoint del provider di identità SAML (da Command 2.17).
Tutte queste funzioni devono essere configurate da Command, utilizzando i diritti di configurazione necessari, e possono essere utilizzate per indirizzare CefSharp verso un'immagine webp dannosa.
Impatto
Un Command Enterprise Software rogue può essere configurato per iniettare un'immagine Webp dannosa in una delle funzioni della descrizione.
Le versioni interessate di Command Client possono eseguire il rendering dell'immagine, consentendo l'accesso al sistema in cui viene utilizzato Command Client, esponendo il suo file system e permettendo l'esecuzione di codice dannoso. Tale accesso è limitato ai diritti dell'utente che ha avviato Command Client.
Mitigazioni
L'impatto della vulnerabilità può essere attenuato se l'infrastruttura di rete è protetta dalla presenza di servizi dannosi che agiscono come Command Enterprise Software e dalla presenza di attacchi man in the middle.
Un'infrastruttura di rete chiusa sarà protetta dagli attacchi provenienti dall'esterno, mentre per quelli che potrebbero provenire dall'interno, il rischio potrebbe essere mitigato utilizzando i certificati 802.1x, supportati nella nostra soluzione, per autenticare l'accesso alla rete.
Soluzione
Aggiornare il Command Client alla versione con la correzione. Sono disponibili per il download dal sito web di March Networks o dal March Networks Partner Portal.
L'aggiornamento di Command Enterprise Software ad almeno la versione 2.18 imporrà automaticamente l'uso della corrispondente release del client.
Sul nostro portale per i partner, i clienti che utilizzano Command Enterprise Software 2.16 o 2.17 troveranno un programma di installazione di Command Client 2.16 e 2.17 con la correzione, che può essere utilizzato per aggiornare le workstation client. Sono inoltre disponibili installatori lato server per aggiornare le distribuzioni di Command Enterprise 2.16 e 2.17, per distribuire Command Client automaticamente e direttamente da Command Enterprise.
I clienti che utilizzano Command Enterprise Software 2.15 e versioni successive possono utilizzare qualsiasi programma di installazione di Command Client con la correzione, in quanto sono retrocompatibili e non richiedono alcun aggiornamento di Command Enterprise o di qualsiasi altro servizio o dispositivo.
Nota aggiuntiva
Alcuni scanner di sicurezza potrebbero rilevare un pacchetto Node.js Sharp in Command Enterprise Software affetto da questa vulnerabilità. Questo pacchetto è un residuo dell'ambiente di sviluppo di Web Client e non viene utilizzato attivamente in Command Enterprise Software o in uno dei nostri clienti, pertanto non rappresenta una vera e propria vulnerabilità di sicurezza. Verrà rimosso con la prossima versione del client Web, che potrà essere installato separatamente come applicazione Command Enterprise.
Download
Tutte le nostre release software supportate sono disponibili anche sul Partner Portal di March Networks https://partners.marchnetworks.com/support/command-software/command-client/.
Riferimenti
https://github.com/cefsharp/CefSharp/security/advisories/GHSA-j646-gj5p-p45g
Revisione
21 dicembre 2023 - Rapporto pubblico iniziale
Esclusione di responsabilità
La valutazione da parte di March Networksdi questa vulnerabilità di sicurezza è subordinata al fatto che i prodotti March Networks siano stati aggiornati al livello di release e/o patch di sicurezza raccomandato e che il sistema sia stato implementato e configurato in conformità alle raccomandazioni di sicurezza March Networks e alle best practice del settore. È RESPONSABILITÀ DEL CLIENTE VALUTARE L'EFFETTO DI QUALSIASI VULNERABILITÀ DI SICUREZZA. Il mancato aggiornamento dei prodotti March Networks e/o la mancata osservanza delle raccomandazioni March Networks o delle best practice di settore possono aumentare il rischio associato a una vulnerabilità di sicurezza.
March Networks segue le pratiche più avanzate del settore per affrontare le vulnerabilità di sicurezza dei suoi prodotti. Sebbene March Networks non possa garantire che i suoi prodotti siano privi di vulnerabilità di sicurezza, si impegna a fornire aggiornamenti e correzioni di sicurezza per i suoi prodotti supportati, se e quando viene determinata una vulnerabilità di sicurezza elevata che riguarda i prodotti March Networks .