Bezpečnostní bulletin: Dvě CVE a jak zůstat v bezpečí

Automaticky přeloženo z Deepl

Možná jste se setkali se dvěma nedávno oznámenými CVE pro 4D. Níže naleznete informace o opatřeních, která musíte provést, abyste zůstali v bezpečí.

CVE-2023-30222: Zranitelnost spočívající v prozrazení informací

Tato CVE se týká zranitelnosti prozrazení informací ve všech verzích 4D, která útočníkům umožňuje získat hashe hesel všech uživatelů pomocí odposlechu.

Zjištěná zranitelnost uvádí, že pokud je komunikace mezi klientem a serverem šifrovaná (nastavení projektu), může ji kdokoli, kdo má soukromý klíč serveru, přečíst i v otevřené podobě. Zní to samozřejmě: soukromý klíč serveru by měl zůstat tajný.

I když 4D dodává výchozí certifikát a klíč pro usnadnění vývoje a testování, naše dokumentace vždy důrazně doporučuje nahradit je vlastními.

Abychom vám usnadnili práci s výměnou takového soukromého klíče serveru, 4D v20 R4 jej při každém spuštění serveru automaticky znovu vygeneruje. Každá instance serveru 4D tak bude mít svůj vlastní – odlišný – soukromý klíč.

 

CVE-2023-30223: chybné ověřování

Tato CVE popisuje zranitelnost s porušeným ověřováním, která útočníkům umožňuje odesílat podvržené pakety TCP obsahující požadavky na provedení libovolné akce.

Takovéto injektáže jsou možné pouze v případě, že má útočník k dispozici soukromý klíč serveru. Chcete-li tedy opět zůstat v bezpečí, nezapomeňte nahradit výchozí klíče serveru svými vlastními.

Pro další zvýšení bezpečnosti těchto aplikací poskytuje 4D opravu chyby, která umožňuje přijímat před ověřením pouze nezbytně nutné požadavky. Toto vylepšení se týká zejména aplikací 4D využívajících vestavěný systém hesel. Je k dispozici od následujících verzí:

    • 4D v19.7 LTS, sestavení 288986
    • 4D v20.2 LTS, sestavení 100956
    • 4D v20 R2 HF1, sestavení 100440
    • 4D v20 R3 a další

Aplikací 4D, které nepoužívají vestavěný systém hesel, se tato zranitelnost přímo netýká, protože jejich zabezpečení závisí na jejich vlastní implementaci nebo externích adresářích (například LDAP, Active Directory nebo Microsoft 365).

 

Závěr

Důrazně doporučujeme používat vlastní soukromý klíč serveru a udržovat jej v tajnosti, ať už je vaše verze 4D jakákoli.

Doporučujeme také aktualizovat 4D na nejnovější verzi a dodržovat doporučení uvedená v našem průvodci zabezpečením 4D.