Votre thingsHub est-il affecté par la faille XZ (CVE-2024-3094) ?
La semaine dernière, une vulnérabilité critique (CVE-2024-3094, score de base : 10.0 Critical) a été découverte dans XZ Utils. Cette vulnérabilité pourrait potentiellement permettre à des attaquants d'exécuter du code sur les systèmes affectés.
Notre équipe de développement a immédiatement étudié l'impact sur nos systèmes. Celle-ci a abouti à la conclusion suivante :
Dans l'environnement système des produits thingsHub "Cloud" et "OnPremise", les Utils ne sont pas installés par défaut. XZ Utils n'est pas installé par défaut et n'est donc pas affecté par la vulnérabilité.
Nos fichiers Docker personnalisés pertinents excluent explicitement l'installation de XZ. De plus, Grafana, qui est utilisé au sein de notre système, utilise l'image non affectée alpine:3.19.1 et n'y installe pas XZ. De même, le moteur Kubernetes certifié CNCF que nous utilisons pour le service de cloud thingshub (GKE) n'est pas concerné par cette erreur.
Si vous ou l'un de vos collègues avez des questions à ce sujet, vous pouvez nous contacter à tout moment par e-mail ou par téléphone.
Votre équipe de développement SmartMakers thingsHub