Vulnérabilités résolues de la version 4.1.1

FreeBSD

Les vulnérabilités CVE-2019-15879 et CVE-2019-15880 liées au module cryptodev ont été corrigées par l'application d'un correctif de sécurité FreeBSD.

JQuery

Référence support 78384

Les vulnérabilités CVE-2020-11022 et CVE-2020-11023 ont été résolues par la mise à jour de la bibliothèque JQuery.

Processeurs Intel

Plusieurs vulnérabilités (CVE-2019-11157, CVE-2019-14607 et CVE-2018-12207) pouvant affecter les processeurs Intel ont été corrigées par l'application d'un correctif FreeBSD et de mises à jour de microcode Intel.

Le détail de ces vulnérabilités est disponible sur notre site https://advisories.stormshield.eu.

Ligne de commande

Le service de ligne de commande de SNS (Serverd) était vulnérable aux attaques par force brute uniquement via les interfaces protégées et seulement si l'accès au serveur d'administration sur le port 1300 était autorisé dans la configuration des règles implicites. Ce défaut a été corrigé.

Le détail de cette vulnérabilité est disponible sur notre site https://advisories.stormshield.eu.

NetBIOS

Une vulnérabilité pouvait permettre par le biais d'une session NetBIOS d'envoyer au travers du firewall des paquets NetBIOS spécialement conçus dans le but de réaliser un déni de service.

Le détail de cette vulnérabilité est disponible sur notre site https://advisories.stormshield.eu.

Authentification par certificat

Des contrôles additionnels ont été mis en place pour détecter la présence éventuelle du caractère spécial "*" dans le champ adresse e-mail d'un certificat. Ces contrôles permettent de ne plus interpréter ce caractère lors d'une requête à destination de l'annuaire LDAP, ce qui pouvait autoriser une connexion injustifiée au firewall.

Certificats et PKI

Des contrôles additionnels ont été mis en place pour les opérations de manipulation telles que le téléchargement d'une identité utilisateur ou la publication d'un certificat dans l'annuaire LDAP. Ces contrôles interdisent l'exécution de code JavaScript qui aurait ainsi pu être placé par un utilisateur malveillant dans le certificat.

Interface Web d'administration / Portail captif / Parrainage

Des contrôles supplémentaires à la connexion (interface Web d'administration / Portail captif / Parrainage) permettent de s'assurer qu'aucune tentative d'exécution de code JavaScript ou de balises HTML additionnelles n'est réalisée au travers de la page optionnelle d'avertissement (disclaimer).

Antivirus ClamAV

Les vulnérabilités CVE-2020-3327 et CVE-2020-3341 ont été résolues par la mise à jour du moteur antiviral ClamAV en version 0.102.3.