Bulletin de sécurité : Deux CVE et comment rester en sécurité

Vous avez peut-être remarqué deux CVE récentes déclarées pour 4D. Vous trouverez ci-dessous les actions que vous devez mettre en oeuvre afin de rester en sécurité.

CVE-2023-30222: Vulnérabilité de divulgation d’informations

Ce CVE fait référence à une vulnérabilité de divulgation d’informations dans toutes les versions de 4D permettant aux attaquants de récupérer les hachages de mots de passe de tous les utilisateurs via écoute clandestine (eavesdropping).

La vulnérabilité détectée indique que, lorsque la communication entre le client et le serveur est cryptée (paramètres du projet), la communication peut toujours être lue en clair par toute personne possédant la clé privée du serveur. Cela semble évident : la clé privée de votre serveur doit rester secrète.

Même si 4D fournit un certificat et une clé par défaut pour faciliter le développement et les tests, notre documentation recommande toujours fortement de les remplacer par les vôtres.

Pour vous faciliter la tâche lors du remplacement de cette clé privée de serveur, 4D v20 R4 la re-génèrera automatiquement à chaque démarrage du serveur. De cette manière, chaque instance de serveur 4D dispose de sa propre clé privée.

 

CVE-2023-30223: vulnérabilité DE VIOLATION d’authentification

Cette CVE décrit une vulnérabilité de violation d’authentification permettant à des attaquants d’envoyer des paquets TCP contenant des requêtes pour effectuer des actions arbitraires.

De telles injections ne sont possibles que si l’attaquant met la main sur la clé privée du serveur. Donc, une fois de plus, pour rester en sécurité, assurez-vous de remplacer les clés de serveur par défaut par les vôtres.

Pour améliorer encore la sécurité de ces applications, 4D fournit une correction de bogue pour n’accepter que les requêtes strictement nécessaires avant l’authentification. Cette amélioration est particulièrement pertinente pour les applications 4D qui utilisent le système de mot de passe intégré. Elle est disponible à partir des versions suivantes :

    • 4D v19.7 LTS, build 288986
    • 4D v20.2 LTS, build 100956
    • 4D v20 R2 HF1, build 100440
    • 4D v20 R3 et suivantes

Les applications 4D n’utilisant pas le système de mot de passe intégré ne sont pas directement impactées par cette vulnérabilité car leur sécurité repose sur leur propre implémentation ou sur des annuaires externes (tels que LDAP, Active Directory ou Microsoft 365).

 

Conclusion

Nous vous recommandons vivement d’utiliser votre propre clé privée de serveur et de la garder secrète, quelle que soit votre version de 4D.

Nous vous recommandons également de mettre à jour 4D vers sa dernière version et de respecter les recommandations fournies dans notre guide de sécurité 4D.