Vulnérabilités résolues de SNS 4.1.1
FreeBSD
Les vulnérabilités CVE-2019-15879 et CVE-2019-15880 liées au module cryptodev ont été corrigées par l'application d'un correctif de sécurité FreeBSD.
JQuery
Référence support 78384
Les vulnérabilités CVE-2020-11022 et CVE-2020-11023 ont été résolues par la mise à jour de la bibliothèque JQuery.
Processeurs Intel
Plusieurs vulnérabilités (CVE-2019-11157, CVE-2019-14607 et CVE-2018-12207) pouvant affecter les processeurs Intel ont été corrigées par l'application d'un correctif FreeBSD et de mises à jour de microcode Intel.
Le détail de ces vulnérabilités est disponible sur notre site https://advisories.stormshield.eu.
Ligne de commande
Le service de ligne de commande de SNS (Serverd) était vulnérable aux attaques par force brute uniquement via les interfaces protégées et seulement si l'accès au serveur d'administration sur le port 1300 était autorisé dans la configuration des règles implicites. Ce défaut a été corrigé.
Le détail de cette vulnérabilité est disponible sur notre site https://advisories.stormshield.eu.
NetBIOS
Une vulnérabilité pouvait permettre par le biais d'une session NetBIOS d'envoyer au travers du firewall des paquets NetBIOS spécialement conçus dans le but de réaliser un déni de service.
Le détail de cette vulnérabilité est disponible sur notre site https://advisories.stormshield.eu.
Certificats et PKI
Des contrôles additionnels ont été mis en place pour les opérations de manipulation telles que le téléchargement d'une identité utilisateur ou la publication d'un certificat dans l'annuaire LDAP. Ces contrôles interdisent l'exécution de code JavaScript qui aurait ainsi pu être placé par un utilisateur malveillant dans le certificat.
Interface Web d'administration / Portail captif / Parrainage
Des contrôles supplémentaires à la connexion (interface Web d'administration / Portail captif / Parrainage) permettent de s'assurer qu'aucune tentative d'exécution de code JavaScript ou de balises HTML additionnelles n'est réalisée au travers de la page optionnelle d'avertissement (disclaimer).
Antivirus ClamAV
Les vulnérabilités CVE-2020-3327 et CVE-2020-3341 ont été résolues par la mise à jour du moteur antiviral ClamAV en version 0.102.3.