Bollettino di sicurezza: Due CVE e come rimanere al sicuro

Tradotto automaticamente da Deepl

Potreste esservi imbattuti in due recenti CVE dichiarati per 4D. Di seguito sono riportate le azioni da intraprendere per garantire la sicurezza.

CVE-2023-30222: vulnerabilità di divulgazione delle informazioni

Questo CVE si riferisce a una vulnerabilità di divulgazione delle informazioni in tutte le versioni di 4D che consente agli aggressori di recuperare gli hash delle password di tutti gli utenti tramite intercettazioni.

La vulnerabilità rilevata afferma che, quando la comunicazione tra client e server è crittografata (impostazioni del progetto), la comunicazione può comunque essere letta in chiaro da chiunque disponga della chiave privata del server. Sembra ovvio: la chiave privata del server deve rimanere segreta.

Anche se 4D fornisce un certificato e una chiave predefiniti per facilitare lo sviluppo e i test, la nostra documentazione raccomanda sempre di sostituirli con i propri.

Per facilitare il compito di sostituire la chiave privata del server, 4D v20 R4 la rigenera automaticamente a ogni avvio del server. In questo modo ogni istanza del server 4D ha la propria chiave privata, diversa.

 

CVE-2023-30223: vulnerabilità dell’autenticazione non funzionante

Questo CVE descrive una vulnerabilità di autenticazione non funzionante che consente agli aggressori di inviare pacchetti TCP modificati contenenti richieste di esecuzione di azioni arbitrarie.

Tali iniezioni sono possibili solo se l’attaccante ha le mani sulla chiave privata del server. Quindi, ancora una volta, per essere sicuri, assicuratevi di sostituire le chiavi del server predefinite con le vostre.

Per migliorare ulteriormente la sicurezza di queste applicazioni, 4D fornisce un bugfix per accettare solo le richieste strettamente necessarie prima dell’autenticazione. Questo miglioramento è particolarmente importante per le applicazioni 4D che utilizzano il sistema di password integrato. È disponibile a partire dalle seguenti versioni:

    • 4D v19.7 LTS, build 288986
    • 4D v20.2 LTS, build 100956
    • 4D v20 R2 HF1, build 100440
    • 4D v20 R3 e successive

Le applicazioni 4D che non utilizzano il sistema di password integrato non sono direttamente interessate da questa vulnerabilità, poiché la loro sicurezza si basa sulla propria implementazione o su directory esterne (come LDAP, Active Directory o Microsoft 365).

 

Conclusione

Si consiglia vivamente di utilizzare la propria chiave privata del server e di mantenerla segreta, qualunque sia la versione di 4D in uso.

Vi raccomandiamo inoltre di aggiornare 4D alla sua ultima versione e di osservare le raccomandazioni fornite nella nostra guida alla sicurezza di 4D.