Boletim de segurança: Dois CVEs e como se manter seguro

Você pode ter encontrado dois CVEs recentes declarados para 4D. Por favor, encontre aqui abaixo as ações que deve tomar para se manter seguro.

CVE-2023-30222: Vulnerabilidade de divulgação de informação

Este CVE refere-se a uma vulnerabilidade de divulgação de informação em todas as versões de 4D, permitindo que atacantes recupassem hashes de senhas para todos os usuários através de eavesdropping.

A vulnerabilidade detectada afirma que, quando a comunicação entre o cliente e o servidor fosse encriptada (definições do projeto), a comunicação podia ainda ser lida de forma clara por qualquer pessoa que tivesse a chave privada do servidor. Isso parece óbvio: sua chave privada do servidor deve permanecer secreta.

Mesmo que 4D envie certificados e chaves padrão para facilitar o desenvolvimento e testes, nossa documentação sempre recomenda fortemente substituí-los por seus próprios.

Para facilitar sua tarefa de substituir essa chave privada do servidor, 4D v20 R4 vai regerá-la automaticamente em cada início de servidor. Dessa forma, cada instância do servidor 4D tem sua própria – e diferente – chave privada.

 

CVE-2023-30223: vulnerabilidade de autenticação quebrada

Este CVE descreve uma vulnerabilidade de autenticação quebrada que permite que os atacantes enviassem pacotes TCP criados contendo pedidos para realizar ações arbitrárias.

Estas injeções só são possíveis se o atacante tiver nas suas mãos a chave privada do servidor. Por isso, mais uma vez, para se manter seguro, certifique-se de que substitui as chaves de servidor predefinidas pelas suas próprias chaves.

Para melhorar ainda mais a segurança dessas aplicações, 4D fornece uma correção de bug para aceitar apenas pedidos estritamente necessários antes de autenticar. Essa melhoria é especialmente relevante para aplicações 4D que usam o sistema de senhas embutido. Está disponível a partir das seguintes versões:

    • 4D v19.7 LTS, build 288986
    • 4D v20.2 LTS, build 100956
    • 4D v20 R2 HF1, build 100440
    • 4D v20 R3 e posteriores

Os aplicativos 4D que não usam o sistema de senha integrado não são diretamente afetados por essa vulnerabilidade, pois sua segurança depende de sua própria implementação ou de diretórios externos (como LDAP, Active Directory ou Microsoft 365).

 

Conclusão

Recomendamos fortemente usar sua própria chave privada de servidor e mantê-la secreta, qualquer que seja sua versão 4D.

Também recomendamos que atualize 4D para sua última versão e observe as recomendações fornecidas em nosso guia de segurança 4D.