Faille de sécurité touchant Security Center

July 24, 2018

Une faille critique de sécurité pouvant mener à l’exécution de code à distance sans authentification a été découverte dans la gamme de produits Security Center de Genetec. Cette faille a été révélée en privé par une entreprise tierce engagée par Genetec afin de soumettre Security Center à des tests de pénétration. Il n’existe actuellement aucune preuve que cette faille soit exploitée dans le but d’attaquer les systèmes Security Center.

Évaluation des risques

Cette faille touche l’analyse par Security Center des messages reçus depuis le réseau. Un hacker pourrait exploiter cette faille sans avoir besoin de s’authentifier dans Security Center. Cette exploitation pourrait permettre d’exécuter du code arbitraire et de prendre le contrôle du système d’exploitation hébergeant le rôle de Security Center. Le score de la base CVSS v3.0 correspondant à cette faille est de 9.0 (critique).

Recommandation

Nous avons publié des correctifs de sécurité (mises à jour cumulatives) pour toutes les versions concernées et nous recommandons à nos clients d’appliquer le correctif approprié dès que possible.

Solutions alternatives

Si vous ne pouvez pas appliquer le correctif (mise à jour cumulative) dans l’immédiat, une autre option à court terme consisterait à déconnecter Security Center du réseau jusqu’à ce que vous puissiez appliquer le correctif, et ce, dès que possible.

Informations relatives au correctif

Le correctif s’applique aux composants client et serveur de Security Center. Notez que le correctif n’a aucune incidence sur les performances. Tous les produits cloud concernés par cette faille ont déjà été corrigés.

Produits concernés et version du correctif

Produit Touché ? Correctif appliqué ? Version du correctif
Security Center 5.7 Oui
À appliquer par le client
 
5.7 SR2 CU1
Security Center 5.6 Oui
À appliquer par le client
 
5.6 SR4 CU8
Security Center  5.5 Oui
À appliquer par le client
 
5.5 SR5 CU14
Security Center 5.4 Oui
À appliquer par le client
 
5.4 SR3 CU12
Security Center 5.3 Oui
À appliquer par le client
 
5.3 SR4 CU7
Security Center 5.2 Oui
À appliquer par le client
 
5.2 SR11 CU2
Security Center en offre SaaS Oui
Oui
 
Dépend de la version
Genetec Stratocast™ Oui
Oui
 
S/O
Genetec Clearance™ Non
S/O
 
S/O

Omnicast 4.x
 
Non S/O S/O

Si vous souhaitez obtenir plus d’informations ou si vous avez besoin d’aide pour l’application des correctifs, connectez-vous au Portail d’assistance technique de Genetec (GTAP) pour soumettre un ticket.

Aucun article précédent

Livret suivant
Contrôle d'accès complet Security Center Synergis
Contrôle d'accès complet Security Center Synergis

Avec Security Center Synergis, le contrôle d'accès va au-delà de la simple protection des portes.