Failles Meltdown et Spectre : recommandations de protection pour les produits Genetec

January 12, 2018
Failles Meltdown et Spectre : recommandations de protection pour les produits Genetec

Deux failles de sécurité potentielles, affectant les systèmes d’exploitation Windows et les processeurs Intel® ont été récemment découvertes. Ces failles peuvent permettre un accès non autorisé aux informations.

Le 3 janvier 2018, deux failles de sécurité potentielles ont été rendues publiques. Les failles Meltdown (CVE-2017-5754) et Spectre (CVE-2017-5753, CVE-2017-5715) peuvent permettre un accès non autorisé aux informations contenues dans un système Windows. Pour exploiter ces failles, il faut avoir la possibilité d’exécuter du code sur la machine ciblée.

Ces failles affectent les systèmes d’exploitation Windows s’exécutant sur des processeurs Intel® (Meltdown et Spectre) et AMD (Meltdown).

Certains produits Genetec sont équipés de systèmes d’exploitation Windows et de processeurs Intel® (appareils Streamvault™, Synergis™ Cloud Link, caméras AutoVu™ Sharp). De plus, Security Center peut être installé sur ce type de configuration. Même si cela n’a encore jamais été observé, ces failles pourraient donc être utilisées pour obtenir un accès non autorisé aux informations stockées par des produits Genetec.

Microsoft a publié un article fournissant des conseils et des correctifs pour les clients Windows (KB 4073119), aux les systèmes Windows Server (KB 4072698), ainsi qu’un script PowerShell (Speculation Control Validation PowerShell Script) qui contrôle la bonne installation des correctifs. Microsoft indique également qu’une mise à jour du micrologiciel ou du microcode du processeur doit être installée avec les correctifs Windows pour parfaitement protéger les clients de ces failles.

L’équipe Genetec a testé ses produits durant ces derniers jours afin de quantifier les impacts potentiels, comme décrit plus bas. Outre l’impact sur les performances, nous évaluons également le risque potentiel présenté par ces failles pour chacun de nos produits.

Vous trouverez ci-dessous la liste des produits Genetec potentiellement concernés et les correctifs disponibles.

Remarque : la cellule Synergis Cloud Link a été mise à jour le 18/01/2018 pour rappeler que le patch Windows doit être appliqué après l’installation de Softwire 10.6.

Produit

Concerné ?

Correctif appliqué ?

Impact du correctif sur les performances*

Évaluation des risques

Commentaires

Security Center - Omnicast

Oui

À appliquer par le client

Archiveur :
25 - 30 %
Routeur multimédia :
15 - 25 %
Passerelle multimédia :
15 - 25 %
Décodage Security Desk :
5 - 45 %

Appliquer le correctif aussi rapidement que possible, en sachant que cela pourra dégrader les performances

L’impact le plus lourd sur la passerelle multimédia et le décodage a été observé lors du décodage simultané d’un grand nombre de flux basse résolution.

Security Center - Synergis

Oui

À appliquer par le client

Négligeable

Appliquer le correctif aussi rapidement que possible 

 

Security Center - AutoVu

Oui

À appliquer par le client

Négligeable

Appliquer le correctif aussi rapidement que possible 

 

AutoVu SharpV

Oui

Non

Négligeable

Faible

- L’exploitation de la faille nécessite d’exécuter du code, ce qui n’est pas autorisé sur SharpV
- Correctif Bios non testé

AutoVuSharp 2.0, Sharp 3.0, SharpX

Non

S/O

S/O

S/O

 

Synergis Cloud Link

Oui

Le client doit appliquer la Mise à jour de sécurité Genetec 20180109 (nécessite Softwire 10.6)

Négligeable

Faible

- L’exploitation de la faille nécessite d’exécuter du code, ce qui n’est pas autorisé sur Synergis Cloud Link
- Correctif Bios non testé

SV16v3 et plus

Oui

À appliquer par le client

0 - 35 %

Appliquer le correctif aussi rapidement que possible

- L’impact le plus lourd a été observé lors du décodage de flux en Full HD.

-L’appareil présente une marge de performance suffisante pour que l’impact reste négligeable pour le client

SV32 (toutes les versions)

Oui

À appliquer par le client

0 - 46 %

Appliquer le correctif aussi rapidement que possible, en sachant que cela pourra dégrader les performances

- L’impact le plus lourd a été observé lors du décodage de flux en Full HD
- La dégradation des performances est sensible. La quantité maximale de flux Full HD pouvant être décodés simultanément est réduite

SVPro

Oui

À appliquer par le client

0 - 30 %

Appliquer le correctif aussi rapidement que possible

 

SV-1000 et plus (anciennement appelé serveur BCD)

Oui

À appliquer par le client

20 - 35 %

Appliquer le correctif aussi rapidement que possible, en sachant que cela pourra dégrader les performances

- Un archiveur haute performance exécuté au-delà de 1200 Mbit/s enregistrera une dégradation du système

Genetec Stratocast

Oui

Oui

Négligeable

S/O

Correctif appliqué dans Microsoft Azure

Genetec Clearance

Oui

Oui

Négligeable

S/O

Correctif appliqué dans Microsoft Azure

 

*Cela représente le pourcentage d’augmentation de consommation du CPU. Par exemple, si le taux d’utilisation du CPU était auparavant de 10 %, et que le taux d’impact du correctif indiqué dans le tableau ci-dessus est de 25 %, alors l’utilisation réelle du CPU sera de 12,5 % une fois le correctif appliqué. Cet impact sur les performances n’est pas nécessairement perçu par l’utilisateur.

Cette recommandation sera actualisée si d’autres faits sont mis en évidence à l’avenir.

Références supplémentaires

Page de recommandations de sécurité HP sur Meltdown et Spectre contenant un lien vers la mise à jour du chipset

Page de recommandations de sécurité Dell sur Meltdown et Spectre contenant un lien vers la mise à jour du chipset

N’hésitez pas à contacter l’équipe de Sécurité Genetec si vous souhaitez un complément d’information.

Article précédent
Mise à jour : Attaque du ransomware WannaCry
Mise à jour : Attaque du ransomware WannaCry

Avis relatif aux appareils Genetec basés sur Windows : attaque du ransomware WannaCry

Article suivant
La vulnérabilité des micrologiciels Intel affecte certains appareils Genetec
La vulnérabilité des micrologiciels Intel affecte certains appareils Genetec

Intel a annoncé la découverte d’une faille importante touchant les produits Intel® Management Engine (ME), ...