Faille de sécurité touchant Security Center
Une faille critique de sécurité pouvant mener à l’exécution de code à distance sans authentification a été découverte dans la gamme de produits Security Center de Genetec. Cette faille a été révélée en privé par une entreprise tierce engagée par Genetec afin de soumettre Security Center à des tests de pénétration. Il n’existe actuellement aucune preuve que cette faille soit exploitée dans le but d’attaquer les systèmes Security Center.
Évaluation des risques
Cette faille touche l’analyse par Security Center des messages reçus depuis le réseau. Un hacker pourrait exploiter cette faille sans avoir besoin de s’authentifier dans Security Center. Cette exploitation pourrait permettre d’exécuter du code arbitraire et de prendre le contrôle du système d’exploitation hébergeant le rôle de Security Center. Le score de la base CVSS v3.0 correspondant à cette faille est de 9.0 (critique).
Recommandation
Nous avons publié des correctifs de sécurité (mises à jour cumulatives) pour toutes les versions concernées et nous recommandons à nos clients d’appliquer le correctif approprié dès que possible.
Solutions alternatives
Si vous ne pouvez pas appliquer le correctif (mise à jour cumulative) dans l’immédiat, une autre option à court terme consisterait à déconnecter Security Center du réseau jusqu’à ce que vous puissiez appliquer le correctif, et ce, dès que possible.
Informations relatives au correctif
Le correctif s’applique aux composants client et serveur de Security Center. Notez que le correctif n’a aucune incidence sur les performances. Tous les produits cloud concernés par cette faille ont déjà été corrigés.
Produits concernés et version du correctif
Produit | Touché ? | Correctif appliqué ? | Version du correctif |
Security Center 5.7 | Oui | À appliquer par le client |
5.7 SR2 CU1 |
Security Center 5.6 | Oui | À appliquer par le client |
5.6 SR4 CU8 |
Security Center 5.5 | Oui | À appliquer par le client |
5.5 SR5 CU14 |
Security Center 5.4 | Oui | À appliquer par le client |
5.4 SR3 CU12 |
Security Center 5.3 | Oui | À appliquer par le client |
5.3 SR4 CU7 |
Security Center 5.2 | Oui | À appliquer par le client |
5.2 SR11 CU2 |
Security Center en offre SaaS | Oui | Oui |
Dépend de la version |
Genetec Stratocast™ | Oui | Oui |
S/O |
Genetec Clearance™ | Non | S/O |
S/O |
Omnicast 4.x |
Non | S/O | S/O |
Si vous souhaitez obtenir plus d’informations ou si vous avez besoin d’aide pour l’application des correctifs, connectez-vous au Portail d’assistance technique de Genetec (GTAP) pour soumettre un ticket.