NOUVEAU ET QUI VAUT LA PEINE D'ÊTRE CONNU

Vulnérabilité dans XZ Utils - thingsHub non affecté

overlay triangle

Votre thingsHub est-il affecté par la faille XZ (CVE-2024-3094) ?

La semaine dernière, une vulnérabilité critique (CVE-2024-3094, score de base : 10.0 Critical) a été découverte dans XZ Utils. Cette vulnérabilité pourrait potentiellement permettre à des attaquants d'exécuter du code sur les systèmes affectés.

Notre équipe de développement a immédiatement étudié l'impact sur nos systèmes. Celle-ci a abouti à la conclusion suivante :

Dans l'environnement système des produits thingsHub "Cloud" et "OnPremise", les Utils ne sont pas installés par défaut. XZ Utils n'est pas installé par défaut et n'est donc pas affecté par la vulnérabilité.

Nos fichiers Docker personnalisés pertinents excluent explicitement l'installation de XZ. De plus, Grafana, qui est utilisé au sein de notre système, utilise l'image non affectée alpine:3.19.1 et n'y installe pas XZ. De même, le moteur Kubernetes certifié CNCF que nous utilisons pour le service de cloud thingshub (GKE) n'est pas concerné par cette erreur.

Si vous ou l'un de vos collègues avez des questions à ce sujet, vous pouvez nous contacter à tout moment par e-mail ou par téléphone.


Votre équipe de développement SmartMakers thingsHub

Partager cet article

Publié 9 avril 2024

Changer de langue

En savoir plus

IoT pour la logistique webinaire

Webinar : IoT pour la logistique

Dans le webinaire de 30 minutes intitulé "LPWAN & LoRaWAN for Logistics", vous découvrirez les scénarios d'application, la technologie des capteurs et les composants d'une solution complète.