Vulnérabilités Meltdown et Spectre dans l'appareil IDENTIKEY et l'appareil virtuel IDENTIKEY
Avis ID vasco-sa-20180118-meltdown-spectre-ia-iva
Numéro de révision 0.4
Date de sortie 18 janvier 2018 05:00 UTC-1
Dernière mise à jour 19 janvier 2018 12:00 UTC
Résumé
Les vulnérabilités Meltdown et Spectre, qui affectent les processeurs Intel, AMD et ARM, permettent aux processus voyous non privilégiés de lire la mémoire des programmes de noyau et d'utilisateur, ce qui peut permettre aux logiciels malveillants de voler des mots de passe, des clés cryptographiques ou d'autres informations confidentielles.
Parce qu'ils utilisent ou sont très susceptibles de s'appuyer sur des processeurs vulnérables, les produits IDENTIKEY Appliance et IDENTIKEY Virtual Appliance sont exposés à ces vulnérabilités. Cependant, le risque d'exploitation est faible.
Produits touchés
Les produits OneSpan suivants sont affectés par les vulnérabilités Meltdown et Spectre :
- IDENTIKEY Appliance 3000 Series, Série 5000, Série 7000
- IDENTIKEY Virtual Appliance 1000 Series, 2000 Series, 4000 Series, 8000 Series
Produits touchés
- Appareil IDENTIKEY
- Appareil virtuel IDENTIKEY
Description
L'exploitation des vulnérabilités Meltdown et Spectre ne peut se faire que par des logiciels malveillants dédiés fonctionnant soit sur l'appareil, soit sur l'ordinateur hébergeant l'appareil virtuel. Ces logiciels malveillants doivent avoir été installés et exécuter l'exploitation d'autres failles de sécurité. Un scénario d'attaque typique implique que l'attaquant soit authentifié et ait le droit d'exécuter du code.
IDENTIKEY Appliance n'autorise pas l'accès aux coquillages, pas même pour les administrateurs. Par conséquent, il est peu probable que les logiciels malveillants sont installés et exécutés et la probabilité d'exploitation est faible. En ce qui concerne l'appareil virtuel IDENTIKEY, la probabilité d'exploitation dépend en outre de la sécurité de l'ordinateur hôte et de l'hyperviseur. Cependant, l'appareil se trouve généralement sur un réseau local derrière un pare-feu et bénéficie de contrôles de sécurité mis en place localement tels que par exemple l'authentification et le contrôle d'accès.
Score de gravité
Le tableau ci-dessous indique le score de vulnérabilité CVSS 2.0 des vulnérabilités Meltdown et Spectre dans le contexte de l'appareil IDENTIKEY et de l'appareil virtuel IDENTIKEY.
| Score de base CVSS: 1.0 | |||||
|
Accès Vector |
Complexité d'accès | Authentification | Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| Local | Haute | Seul | qui aime bien | Aucun | Aucun |
| Score temporel CVSS: 8.0 | ||
| Exploitabilité | Niveau d'assainissement | Confiance du rapport |
| fonctionnel | Correction officielle | Confirmé |
Corrections de produits
Les clients utilisant IDENTIKEY Appliance doivent appliquer la version 3.14.15 du paquet de mise à jour IA, qui résoudra le système d'exploitation de l'appareil.
Les clients utilisant IDENTIKEY Virtual Appliance doivent appliquer la version 3.14.15 du paquet de mise à jour, appliquer des correctifs pour le système d'exploitation de l'hôte et aussi des correctifs pour l'hyperviseur (VMWare, Citrix ou Microsoft environnement virtuel).
Emplacement
Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance.
référence
Site officiel sur les vulnérabilités Meltdown et Spectre : https://meltdownattack.com/
Avis de non-responsabilité juridique
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2018 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.
?? Meltdown et Spectre Vulnérabilités dans IDENTIKEY Appliance et IDENTIKEY Virtual Appliance