SyracuseServer 12.19.3.4 Security hotfix

Correctif de sécurité SyracuseServer 12.19.3.4 disponible

Un risque de sécurité dans Sage X3 a été découvert et peut affecter les clients qui utilisent Sage X3 et Sage X3 Warehousing avec la version 12.19.0 de Syracuse. Ce risque de sécurité n'affecte pas les clients utilisant les versions précédentes de Syracuse. Veuillez remplacer SyracuseServer 12.19.0 par SyracuseServer 12.19.3.4.

Le respect des meilleures pratiques de sécurité de Sage X3 ( Sage X3 Security Best Practices) réduit toujours les risques de sécurité. Cependant, nous vous conseillons vivement d'appliquer tous les correctifs de sécurité publiés par Sage.

Deux risques spécifiques ont été identifiés : 

• JS / injection de ligne de commande : Permet à un utilisateur non autorisé d'exécuter des commandes shell malveillantes par le biais d'une injection de JavaScript.
• Gestion des hôtes pour le lien "Réinitialiser le mot de passe" : La gestion des noms d'hôtes pour le lien "Réinitialiser le mot de passe" a été renforcée par une liste blanche de noms d'hôtes, afin de se protéger contre le détournement de noms d'hôtes.
  Les noms d'hôtes autorisés doivent être spécifiés dans la liste blanche dans Administration > Global Settings pour que les URL de réinitialisation du mot de passe soient acceptées par Sage X3.
  La documentation relative à cette fonctionnalité sera disponible sous peu.

>> Téléchargement syracuse 12.19.3.4 en bas de page

SyracuseServer 12.19.3.4 Security hotfix is available
A security risk within Sage X3 has been discovered that may impact customers using Sage X3 and Sage X3 Warehousing with the Syracuse Web Server version 12.19.0. This security risk does not affect customers using previous releases of Syracuse. Please, replace SyracuseServer 12.19.0 by SyracuseServer 12.19.3.4

Following the  Sage X3 Security Best Practices always reduces security risks. However, we strongly advise you apply all security patches issued by Sage.

There are two specific risks that have been identified: 

• JS / command-line-injection: Allows an untrusted user to run malicious shell commands through JavaScript injection.
• Host management for the “Reset password” link: The hostname management for the “Reset password” link has been reinforced with a hostname whitelist, to protect from hostname highjack.
  Allowed host names must be specified in the whitelist in Administration > Global Settings for the reset password URLs to be accepted by Sage X3.
  Documentation for this feature will be available shortly.

SyracuseServer 12.19.3.4 :