Failles Meltdown et Spectre : recommandations de protection pour les produits Genetec
Deux failles de sécurité potentielles, affectant les systèmes d’exploitation Windows et les processeurs Intel® ont été récemment découvertes. Ces failles peuvent permettre un accès non autorisé aux informations.
Le 3 janvier 2018, deux failles de sécurité potentielles ont été rendues publiques. Les failles Meltdown (CVE-2017-5754) et Spectre (CVE-2017-5753, CVE-2017-5715) peuvent permettre un accès non autorisé aux informations contenues dans un système Windows. Pour exploiter ces failles, il faut avoir la possibilité d’exécuter du code sur la machine ciblée.
Ces failles affectent les systèmes d’exploitation Windows s’exécutant sur des processeurs Intel® (Meltdown et Spectre) et AMD (Meltdown).
Certains produits Genetec sont équipés de systèmes d’exploitation Windows et de processeurs Intel® (appareils Streamvault™, Synergis™ Cloud Link, caméras AutoVu™ Sharp). De plus, Security Center peut être installé sur ce type de configuration. Même si cela n’a encore jamais été observé, ces failles pourraient donc être utilisées pour obtenir un accès non autorisé aux informations stockées par des produits Genetec.
Microsoft a publié un article fournissant des conseils et des correctifs pour les clients Windows (KB 4073119), aux les systèmes Windows Server (KB 4072698), ainsi qu’un script PowerShell (Speculation Control Validation PowerShell Script) qui contrôle la bonne installation des correctifs. Microsoft indique également qu’une mise à jour du micrologiciel ou du microcode du processeur doit être installée avec les correctifs Windows pour parfaitement protéger les clients de ces failles.
L’équipe Genetec a testé ses produits durant ces derniers jours afin de quantifier les impacts potentiels, comme décrit plus bas. Outre l’impact sur les performances, nous évaluons également le risque potentiel présenté par ces failles pour chacun de nos produits.
Vous trouverez ci-dessous la liste des produits Genetec potentiellement concernés et les correctifs disponibles.
Remarque : la cellule Synergis™ Cloud Link a été mise à jour le 18/01/2018 pour rappeler que le patch Windows doit être appliqué après l’installation de Softwire 10.6.
|
Produit |
Concerné ? |
Correctif appliqué ? |
Impact du correctif sur les performances* |
Évaluation des risques |
Commentaires |
|---|---|---|---|---|---|
|
Security Center - Omnicast™ |
Oui |
À appliquer par le client |
Archiveur : |
Appliquer le correctif aussi rapidement que possible, en sachant que cela pourra dégrader les performances |
L’impact le plus lourd sur la passerelle multimédia et le décodage a été observé lors du décodage simultané d’un grand nombre de flux basse résolution. |
|
Security Center - Synergis™ |
Oui |
À appliquer par le client |
Négligeable |
Appliquer le correctif aussi rapidement que possible |
|
|
Security Center - AutoVu™ |
Oui |
À appliquer par le client |
Négligeable |
Appliquer le correctif aussi rapidement que possible |
|
|
AutoVu™ SharpV |
Oui |
Non |
Négligeable |
Faible |
- L’exploitation de la faille nécessite d’exécuter du code, ce qui n’est pas autorisé sur SharpV |
|
AutoVu™Sharp 2.0, Sharp 3.0, SharpX |
Non |
S/O |
S/O |
S/O |
|
|
Synergis™ Cloud Link |
Oui |
Le client doit appliquer la Mise à jour de sécurité Genetec 20180109 (nécessite Softwire 10.6) |
Négligeable |
Faible |
- L’exploitation de la faille nécessite d’exécuter du code, ce qui n’est pas autorisé sur Synergis Cloud Link |
|
SV16v3 et plus |
Oui |
À appliquer par le client |
0 - 35 % |
Appliquer le correctif aussi rapidement que possible |
- L’impact le plus lourd a été observé lors du décodage de flux en Full HD. -L’appareil présente une marge de performance suffisante pour que l’impact reste négligeable pour le client |
|
SV32 (toutes les versions) |
Oui |
À appliquer par le client |
0 - 46 % |
Appliquer le correctif aussi rapidement que possible, en sachant que cela pourra dégrader les performances |
- L’impact le plus lourd a été observé lors du décodage de flux en Full HD |
|
SVPro |
Oui |
À appliquer par le client |
0 - 30 % |
Appliquer le correctif aussi rapidement que possible |
|
|
SV-1000 et plus (anciennement appelé serveur BCD) |
Oui |
À appliquer par le client |
20 - 35 % |
Appliquer le correctif aussi rapidement que possible, en sachant que cela pourra dégrader les performances |
- Un archiveur haute performance exécuté au-delà de 1200 Mbit/s enregistrera une dégradation du système |
|
Genetec Stratocast™ |
Oui |
Oui |
Négligeable |
S/O |
Correctif appliqué dans Microsoft Azure |
|
Genetec Clearance™ |
Oui |
Oui |
Négligeable |
S/O |
Correctif appliqué dans Microsoft Azure |
*Cela représente le pourcentage d’augmentation de consommation du CPU. Par exemple, si le taux d’utilisation du CPU était auparavant de 10 %, et que le taux d’impact du correctif indiqué dans le tableau ci-dessus est de 25 %, alors l’utilisation réelle du CPU sera de 12,5 % une fois le correctif appliqué. Cet impact sur les performances n’est pas nécessairement perçu par l’utilisateur.
Cette recommandation sera actualisée si d’autres faits sont mis en évidence à l’avenir.
Références supplémentaires
N’hésitez pas à contacter l’équipe de Sécurité Genetec si vous souhaitez un complément d’information.