| CVE | Si veda la sezione sull'impatto della consulenza |
|---|---|
| Sintesi della consulenza | Alcuni scanner di sicurezza, eseguiti direttamente nel server che ospita Command Enterprise, rilevano la versione di Azul dai suoi file di configurazione ed elencano tutte le potenziali CVE divulgate nelle note di rilascio di Azul, senza verificare se i relativi componenti sono installati o come vengono utilizzati. |
| Prodotti o componenti | Impresa di comando |
| Affrontato nella pubblicazione | Nessun impatto sui prodotti March Networks |
| Gravità | N/D |
| Biglietto | SV-116 |
Descrizione
Alcuni scanner di sicurezza, eseguiti direttamente sul server che ospita Command Enterprise, rilevano la versione di Azul dai suoi file di configurazione ed elencano tutte le potenziali CVE divulgate nelle note di rilascio di Azul, senza verificare se i relativi componenti sono interessati, utilizzati o addirittura installati. In generale, questi problemi sono legati all'esecuzione di API di rete che caricano dati o al caricamento di codice non attendibile dalla rete. I servizi Command Enterprise basati su WSDL eseguono controlli di correttezza sui dati e non eseguono codice non attendibile. In alcuni casi, i componenti interessati non sono nemmeno installati. Command Enterprise 2.15, 2.16 e 2.17 utilizzano Azul Zulu OpenJDK versione 11.48 (CA), per il quale sono state rilasciate diverse correzioni per i CVE noti. Vedere quelle relative ad Azul Zulu 11 in:
- https://docs.azul.com/core/release/july-2021/release-notes
- https://docs.azul.com/core/release/october-2021/release-notes
- https://docs.azul.com/core/release/january-2022/release-notes
- https://docs.azul.com/core/release/april-2022/release-notes
- https://docs.azul.com/core/release/july-2022/release-notes
- https://docs.azul.com/core/release/october-2022/release-notes
- https://docs.azul.com/core/release/january-2023/release-notes
- https://docs.azul.com/core/release/april-2023/release-notes
- https://docs.azul.com/core/release/july-2023/release-notes
Tutte le CVE relative ad Azul Zulu 11 elencate nei link precedenti non hanno impatto su Command Enterprise 2.15, 2.16, 2.17, oppure sono vulnerabilità di livello basso e medio. Tutte sono state risolte a partire da Command Enterprise 2.18. Command Enterprise 2.18 e 2.19 utilizzano Azul Zulu OpenJDK versione 11.66 (CA), per il quale sono state rilasciate diverse correzioni per i CVE noti. Vedere quelle relative ad Azul Zulu 11 in:
- https://docs.azul.com/core/release/october-2023/release-notes
- https://docs.azul.com/core/release/january-2024/release-notes
- https://docs.azul.com/core/release/april-2024/release-notes
- https://docs.azul.com/core/release/july-2024/release-notes
- https://docs.azul.com/core/release/october-2024/release-notes
Tutti i CVE relativi ad Azul Zulu 11 elencati nei link precedenti non hanno un impatto su Command Enterprise 2.18 o 2.19 o sulle vulnerabilità di livello basso e medio. Tutte sono state comunque risolte a partire da Command Enterprise 2.20. Command Enterprise 2.20 e 2.21 utilizzano Azul Zulu OpenJDK versione 11.76 (CA), per il quale sono state rilasciate diverse correzioni per CVE noti. Vedere quelle relative ad Azul Zulu 11 in:
- https://docs.azul.com/core/release/january-2025/release-notes
- https://docs.azul.com/core/release/april-2025/release-notes
Tutti i CVE relativi ad Azul Zulu 11 elencati nei link precedenti non hanno un impatto su Command Enterprise 2.20 o 2.21 o sulle vulnerabilità di livello basso e medio. Tutte sono state comunque risolte da Command Enterprise 2.22. Command Enterprise 2.22 utilizza Azul Zulu OpenJDK versione 11.80 (CA), per il quale sono state rilasciate diverse correzioni per CVE noti. Vedere quelle relative ad Azul Zulu 11 in:
- https://docs.azul.com/core/release/july-2025/release-notes
- https://docs.azul.com/core/release/october-2025/release-notes
Tutte le CVE relative ad Azul Zulu 11 elencate nei link precedenti non hanno impatto su Command Enterprise 2.22, ad eccezione della vulnerabilità media CVE-2025-53057, che sarà chiusa in una versione futura di Command Enterprise.
March Networks monitora continuamente i nuovi problemi nei componenti software utilizzati nei nostri prodotti e servizi e ne comunica l'impatto in base alle nostre politiche di sicurezza. Per le vulnerabilità critiche e di alto livello, inviamo una notifica attraverso il nostro Partner Portal prima della divulgazione pubblica. Per le vulnerabilità medie e basse, raccomandiamo l'aggiornamento alle ultime versioni rilasciate.
Impatto
Di seguito, elenchiamo in dettaglio tutti i CVE con correzione forniti nelle release di Azul Zulu dalla 11.50 alla 11.82, con l'impatto su Command Enterprise.
| Azul Zulu release 11.50 | |
|---|---|
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Azul Zulu release 11.52 | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Si applica ai dati caricati tramite un'API di rete. Nessun impatto su Command Enterprise, poiché si riferisce a componenti o protocolli non utilizzati. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a basso o medio rischio chiuse con Command Enterprise 2.18. | |
| Azul Zulu release 11.54 | |
| Si applica ai dati caricati tramite un'API di rete. Nessun impatto su Command Enterprise, poiché si riferisce a componenti o protocolli non utilizzati. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a basso o medio rischio chiuse con Command Enterprise 2.18. | |
| Azul Zulu release 11.56 | |
| Si applica ai dati caricati tramite API di rete. Non ha alcun impatto su Command Enterprise, poiché riguarda componenti o protocolli non utilizzati. | |
| Si applica solo se la libreria zlib viene utilizzata al di fuori dell'ambiente Azul Zulu Java. Nessun impatto su Command Enterprise, poiché non fornisce accesso a questa libreria al di fuori dell'ambiente Azul Zulu Java. | |
| Si applica ai dati caricati tramite un'API di rete. Nessun impatto su Command Enterprise, poiché utilizza l'API solo con dati attendibili. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a basso o medio rischio chiuse con Command Enterprise 2.18. | |
| Azul Zulu release 11.58 | |
| Si applica ai dati caricati tramite API di rete. Non ha alcun impatto su Command Enterprise, poiché riguarda componenti o protocolli non utilizzati. | |
| Si applica ai dati caricati tramite un'API di rete. Nessun impatto su Command Enterprise. | |
| Azul Zulu release 11.60 | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Si applica ai dati caricati tramite API di rete. Non ha alcun impatto su Command Enterprise, poiché riguarda componenti o protocolli non utilizzati. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a basso o medio rischio, chiuse con Command Enterprise 2.18. | |
| Azul Zulu release 11.62 | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Azul Zulu release 11.64 | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Si applica ai dati caricati tramite API di rete. Non ha alcun impatto su Command Enterprise, poiché riguarda componenti o protocolli non utilizzati. | |
| Si applica ai dati ricevuti o inviati su una sessione TLS half-duplex. Nessun impatto su Command Enterprise, poiché riceve o invia dati sensibili solo su sessioni TLS full-duplex autenticate. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a basso o medio rischio, chiuse con Command Enterprise 2.18. | |
| Azul Zulu release 11.66 (utilizzato da Command Enterprise 2.18) | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Si applica ai dati caricati tramite un'API di rete. Nessun impatto su Command Enterprise, poiché si riferisce a componenti o protocolli non utilizzati. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a basso rischio, chiuse con Command Enterprise 2.18. | |
| Azul Zulu release 11.68 | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Azul Zulu release 11.70 | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Si applica ai dati caricati tramite API di rete. Non ha alcun impatto su Command Enterprise, poiché riguarda componenti o protocolli non utilizzati. | |
| Si applica ai dati caricati tramite un'API di rete. Nessun impatto su Command Enterprise, poiché utilizza l'API solo con dati attendibili. | |
| Azul Zulu release 11.72 | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Si applica ai dati caricati tramite un'API di rete. Nessun impatto su Command Enterprise, poiché utilizza l'API solo con dati attendibili. | |
| Azul Zulu release 11.74 | |
| Si applica ai dati caricati tramite un'API di rete. Impatto ridotto su Command Enterprise quando si utilizza l'impostazione TLS predefinita. Si consiglia di mantenere la versione TLS 1.2 come minimo e di considerare TLS 1.2 con crittografia in avanti e cifrari forti (per i dettagli, consultare la guida all'installazione). Chiuso con Command Enterprise 2.20. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a basso o medio rischio, chiuse con Command Enterprise 2.20. | |
| Si applica ai dati caricati tramite API di rete. Non ha alcun impatto su Command Enterprise, poiché riguarda componenti o protocolli non utilizzati. | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Azul Zulu release 11.76 (utilizzato da Command Enterprise 2.20) | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a basso o medio rischio, chiuse con Command Enterprise 2.22. | |
| Azul Zulu release 11.78 | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a medio rischio, chiusa con Command Enterprise 2.22. | |
| Azul Zulu release 11.80 | |
| Nessun impatto su Command Enterprise, in quanto relativo a componenti o protocolli non utilizzati da quest'ultima. | |
| Si applica ai dati caricati tramite un'API di rete. Impatto ridotto su Command Enterprise quando si utilizza l'impostazione TLS predefinita. Si consiglia di mantenere la versione TLS 1.2 come minimo e di considerare TLS 1.2 con crittografia in avanti e cifrari forti (per i dettagli, consultare la guida all'installazione). Chiuso con Command Enterprise 2.22. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a medio rischio, chiusa con Command Enterprise 2.22. | |
| Azul Zulu release 11.82 | |
| Si applica solo quando si carica codice non attendibile. Nessun impatto su Command Enterprise, poiché esegue solo codice attendibile, installato sul suo server di hosting senza caricare nulla dalla rete. | |
| Nessun impatto su Command Enterprise, in quanto relativo a componenti o protocolli non utilizzati da quest'ultima. | |
| Azul Zulu release 11.84 | |
| Nessun impatto su Command Enterprise, in quanto relativo a componenti o protocolli non utilizzati da quest'ultima. | |
| Si applica ai dati caricati tramite un'API di rete. Vulnerabilità a medio rischio, sarà chiusa in una versione futura di Command Enterprise. |
Revisione
21 ottobre 2025 - Rapporto pubblico aggiornato
Esclusione di responsabilità
La valutazione di March Networksdi questa vulnerabilità di sicurezza dipende dall'aggiornamento dei prodotti March Networks al livello di release e/o patch di sicurezza raccomandato e dall'implementazione e configurazione del sistema in conformità alle raccomandazioni di sicurezza March Networks e alle best practice del settore. È RESPONSABILITÀ DEL CLIENTE VALUTARE L'EFFETTO DI QUALSIASI VULNERABILITÀ DI SICUREZZA. Il mancato aggiornamento dei prodotti March Networks e/o la mancata osservanza delle raccomandazioni March Networks o delle best practice di settore possono aumentare il rischio associato a una vulnerabilità di sicurezza. March Networks segue pratiche all'avanguardia nel settore per affrontare le vulnerabilità di sicurezza dei propri prodotti. Sebbene March Networks non possa garantire che i suoi prodotti siano privi di vulnerabilità di sicurezza, si impegna a fornire aggiornamenti e correzioni di sicurezza per i suoi prodotti supportati se e quando una vulnerabilità di alta sicurezza viene determinata per i prodotti March Networks .