Sélection de la langue

Government of Canada / Gouvernement du Canada

Avis aux lectrices et aux lecteurs

Cette publication ne répond pas actuellement aux normes Web du gouvernement du Canada. Les informations restent valables.

Mise à jour de sécurité Creston Electronics

Numéro : AV16-124
Date : Le 4 août 2016

Objet

L'objectif de cet avis est d'attirer l'attention sur de multiples vulnérabilités de l'interface InterfaceFrontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels. web de gestion de DM-TXRX-100-STR par Creston Electronics.

Évaluation

Creston Electronics a publié une mise à jour de sécurité afin d'adresser 5 vulnérabilités critiques pour l'interface web de DM-TXRX-100-STR. L'exploitation de ces vulnérabilités permet le contournement d'authentification AuthentificationProcessus ou mesure permettant de vérifier l’identité d’un utilisateur. ainsi que la falsification de requête extra-site. Les appareils visés contiennent aussi des authentifiants codé en dur ainsi que clé de chiffrement ChiffrementProcédure par laquelle une information est convertie d’une forme à une autre afin d’en dissimuler le contenu et d'en interdire l’accès aux entités non autorisées. publiquement connue.

Versions Affectées :
DM-TXRX-100-STR Antérieur à la version 1.3039.00040

Références CVE: CVE-2016-5666, CVE-2016-5667, CVE-2016-5668, CVE-2016-5669, CVE-2016-5670.

Une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. (CVE-2016-5671) n'a pas été corrigée, et une mise à jour micrologiciel prochaine sera émise par le manufacturier.

Mesure suggérée

Le CCRIC recommande que les administrateurs de système mettent à l'essai et déploient les mises à jour diffusées par le fournisseur aux applications concernées en conséquence. Pour la vulnérabilité non corrigée, les administrateurs de système devraient surveiller la sortie de la mise à jour et par la suite déployer la gestion des mises à jour tel qu'établit. Tous appareils utilisant les authentifiants par défauts devraient être réinitialisé avec un mot de passe complexe.

Références

Téléchargement du vendeur :   
https://www.crestron.com/resources/resource-library/firmware (en anglais)

Avis :
http://www.kb.cert.org/vuls/id/974424 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5666 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5667 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5668 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5669 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5670 (en anglais)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5671 (en Anglais)

Date de modification :