| CVE | 6387 |
|---|---|
| Sintesi della consulenza | È stata scoperta e verificata una vulnerabilità RCE (Remote Unauthenticated Code Execution) nel server OpenSSH in esecuzione su sistemi basati su Linux su una CPU Intel a 32 bit. Sebbene i nostri registratori utilizzino una CPU diversa, la vulnerabilità è potenzialmente applicabile anche a queste CPU ed è classificata come elevata indipendentemente dalla piattaforma HW. Si consiglia di aggiornare il server OpenSSH. |
| Prodotti o componenti | NVR 8000, NVR 9000, NVR RideSafe GT/MT/RT |
| Affrontato nella pubblicazione | Patch 42339 R1.0 per 5.26.0.0047 (GA) e 5.27.0.0049 (GA) |
| Gravità | Alto |
| Biglietto | SV-139 |
Descrizione
È stata scoperta e verificata una vulnerabilità RCE (Remote Unauthenticated Code Execution) nel server OpenSSH in esecuzione su sistemi basati su Linux su una CPU Intel a 32 bit. Sebbene i nostri registratori utilizzino una CPU diversa, la vulnerabilità è potenzialmente applicabile anche a queste CPU ed è classificata come elevata indipendentemente dalla piattaforma HW. Si consiglia di aggiornare il server OpenSSH.
Impatto
L'impatto principale è una potenziale esecuzione di codice remoto non autenticato (maggiori informazioni qui).
Soluzione
Aggiornare i registratori R5 che utilizzano la versione 5.26.0.0047 (GA) o 5.27.0.0049 (GA) con la patch 42339 R1.0. Le versioni future di R5 non saranno interessate da questi problemi.
Non applicare la patch 42114 R1.0 rilasciata per l'attacco DHeat sopra questa patch, poiché i suoi file verranno riportati a una versione precedente. La patch 42339 R1.0 copre anche tutto ciò che è stato coperto dalla patch 42114 R1.0.
Per le versioni precedenti, limitate l'uso dell'interfaccia di provisioning solo quando necessario e solo in un ambiente fidato e prendete in considerazione la possibilità di disabilitare l'interfaccia di provisioning contattando il nostro supporto tecnico.
Nel caso in cui i registratori R5 siano gestiti sotto Command Enterprise, si ricorda ai clienti che la versione 2.17 è la versione minima che supporta i registratori R5 alla versione 5.26.0.0047 (GA) e la versione 2.19 è la versione minima che supporta i registratori R5 alla versione 5.27.0.0049 (GA).
Revisione
6 settembre 2024 - Rapporto pubblico iniziale
Esclusione di responsabilità
La valutazione di March Networksdi questa vulnerabilità di sicurezza dipende dall'aggiornamento dei prodotti March Networks al livello di release e/o patch di sicurezza raccomandato e dall'implementazione e configurazione del sistema in conformità alle raccomandazioni di sicurezza March Networks e alle best practice del settore. È RESPONSABILITÀ DEL CLIENTE VALUTARE L'EFFETTO DI QUALSIASI VULNERABILITÀ DI SICUREZZA. Il mancato aggiornamento dei prodotti March Networks e/o la mancata osservanza delle raccomandazioni March Networks o delle best practice di settore possono aumentare il rischio associato a una vulnerabilità di sicurezza. March Networks segue pratiche all'avanguardia nel settore per affrontare le vulnerabilità di sicurezza dei propri prodotti. Sebbene March Networks non possa garantire che i suoi prodotti siano privi di vulnerabilità di sicurezza, si impegna a fornire aggiornamenti e correzioni di sicurezza per i suoi prodotti supportati se e quando una vulnerabilità di alta sicurezza viene determinata per i prodotti March Networks .