Boletín de seguridad: dos CVE y cómo estar seguro

Es posible que se haya encontrado con dos CVEs recientes declarados para 4D. A continuación encontrará las medidas que debe tomar para mantenerse seguro.

CVE-2023-30222: Vulnerabilidad de divulgación de información

Esta CVE se refiere a una vulnerabilidad de divulgación de información en todas las versiones de 4D que permite a los atacantes recuperar los hash de las contraseñas de todos los usuarios a través de escuchas clandestinas (eavesdropping).

La vulnerabilidad detectada indica que, cuando la comunicación entre el cliente y el servidor está cifrada (parámetros del proyecto), la comunicación aún puede ser leída en claro por todo el que tenga la llave privada del servidor. Esto suena obvio: la llave privada de su servidor debe permanecer secreta.

Incluso si 4D envía el certificado y la llave por defecto para facilitar el desarrollo y las pruebas, nuestra documentación siempre recomienda encarecidamente cambiarla.

Para facilitarle la tarea de reemplazar dicha llave privada del servidor, 4D v20 R4 la re-generará automáticamente en cada inicio del servidor. De esta forma, cada instancia de 4D server tiene su propia llave privada.

 

CVE-2023-30223: vulnerabilidad de VIOLACIÓN DE autenticación

Este CVE describe una vulnerabilidad de violación de autenticación que permite a los atacantes enviar paquetes TCP con peticiones para efectuar acciones arbitrarias.

Estas inyecciones sólo son posibles si el atacante tiene en sus manos la llave privada del servidor. Así que, una vez más, para mantenerse seguro, asegúrese de sustituir las llaves predeterminadas del servidor por las suyas.

Para mejorar aún más la seguridad de esas aplicaciones, 4D ofrece una corrección de errores para aceptar sólo las peticiones estrictamente necesarias antes de autenticar. Esta mejora es especialmente relevante para las aplicaciones 4D que utilizan el sistema de contraseñas integrado. Está disponible a partir de las siguientes versiones:

    • 4D v19.7 LTS, build 288986
    • 4D v20.2 LTS, build 100956
    • 4D v20 R2 HF1, build 100440
    • 4D v20 R3 y posteriores

Las aplicaciones 4D que no utilizan el sistema de contraseñas integrado no se ven directamente afectadas por esta vulnerabilidad, ya que su seguridad depende de su propia implementación o de directorios externos (como LDAP, Active Directory o Microsoft 365).

 

Conclusión

Recomendamos encarecidamente utilizar su propia llave privada del servidor y mantenerla en secreto, sea cual sea su versión de 4D.

También le recomendamos actualizar 4D a su última versión y observar las recomendaciones suministradas en nuestra guía de seguridad 4D.