Topkapi - Bulletins de sécurité

Bulletins de securité

Découvrez ci-dessous la liste complète des bulletins de sécurité concernant la solution logicielle Topkapi.

La sécurité : un enjeu majeur

AREAL fait de la sécurité une priorité. Notre engagement en matière de cybersécurité vous permet de rester informé des vulnérabilités détectées et des solutions pour y remédier (mises à jour à effectuer ou solutions de contournement proposées). 

Si vous détectez une vulnérabilité, nous vous invitons à contacter notre support technique via le formulaire de contact ci-dessous.

Informations vulnérabilités

Flux RSS
Titre Versions Description Dernière mise à jour Informations supplémentaires
CVE-2024-1104
Topkapi Webserv2 jusqu'à la version 6.2.4776
La vulnérabilité CVE-2024-1104 a été découverte dans le serveur Web Topkapi Webserv2.
Une attaque par force brute sur l'authentification peut causer un déni de service temporaire du site web.
Un problème a été décelé dans le mécanisme de prévention d'attaques par force brute, ce problème peut rendre le site web indisponible pendant une courte période de temps pour tous les utilisateurs, y compris les utilisateurs déjà connectés. Un contournement possible consiste à réduire la cadence des requêtes via reverse-proxy.
Ce problème affecte Topkapi Webserv2 jusqu'à la version 6.2.4776, dernière version affectée. Corrigé dans la version 6.2.4777. Merci de mettre à jour le composant Webserv2.

pas d'informations supplémentaires

CVE-2023-50356
toutes les versions jusqu'à 6.2.4718
La faille CVE-2023-50356 a été découverte dans le composant LDAPS, uniquement en mode NOVELL et en mode SYNOLOGY. Les connexions LDAPS en mode NOVELL ou SYNOLOGY sont vulnérables à une attaque de type homme-du-milieu, à cause d'un manque de vérification de certificat.

Les connexions LDAP / LDAPS en mode Active Directory ne sont pas affectées. Concerne toute version de Areal Topkapi Vision Serveur jusque 6.2.4718 (dernière version affectée) ;
Corrigé à partir de la version 6.2.4719 inclue. Cette vulnérabilité peut provoquer la révélation de noms d'utilisateurs et de mots de passe. Mettez à jour vers la 6.2.4719 ou plus récent si vous utilisez un LDAP Novell/Synology.

pas d'informations supplémentaires

CVE-2023-50357
Toute version "Webserv1" <= 6.1
Le composant "Webserv1" est possiblement affecté par des vulnérabilités XSS via des paramètres mal vérifiés dans le site web. Cela affecte toute version "Webserv1" <= 6.1 ;
La vulnérabilité a été rapportée sous le numéro CVE-2023-50357 (https://cert.vde.com/en/advisories/weakness/CVE-2023-50357/), et offre la possibilité d'injecter des données malicieuses dans le site web via des paramètres non vérifiés, dans le but d'attaquer le système, via les droits d'accès d'autres utilisateurs.
Cette vulnérabilité pourrait permettre la révélation ou la modification d'informations du processus à un utilisateur qui n'en aurait normalement pas le droit.
Produit "Webserv1" en FIN-DE-VIE. Ce Composant est remplacé par le Portail Web "Webserv2" non affecté par cette CVE, qui est disponible avec le Scada dans les versions 6.0 et suivantes. Mettez à jour.

pas d'informations supplémentaires 

Vous souhaitez nous signaler une vulnérabilité ?
Contactez-nous