Avis de mise à jour de sécurité de mai 2020 (CVE-2020-12630, CVE-2020-12631)

Détails de la faille

CVE ID: CVE-2020-12630, CVE-2020-12631

Type: Déni de service

Découverte : 03/10/2022 - 2020/01/31 USD

Découvert par : Jack Baker

Disponibilité des correctifs : 30/01/2023 - 2020/05/19 USD

Système d'exploitation affecté: Toutes les plateformes supportées

Versions concernées : Tout

Sévérité : Haute

Versions des correctifs :

Deux problèmes de mémoire hors limites ont été identifiés dans la fonctionnalité Unity Multiplayer et Networking UNET affectant les jeux et applications construits avec l'éditeur Unity utilisant UNET. Ces problèmes pourraient conduire à un déni de service (DoS), permettant à un attaquant de bloquer le processus Unity, et potentiellement le jeu ou l'application.

Étapes de correction

Déterminer la version de votre éditeur Unity

Ouvrez un projet Unity.

La version Unity est visible dans le titre de la fenêtre principale.

Version Unit dans Window 2

Installer la mise à jour

Si votre version de l'éditeur Unity n'est pas l'une des versions correctrices répertoriées de la section Détails de vulnérabilité ci-dessus, vous pouvez poursuivre l'installation de la mise à jour comme suit.

Pour installer la mise à jour, vous pouvez utiliser le vérificateur de mise à jour Unity Editor disponible dans le menu Fichier Aide -> Rechercher les mises à jour.

Unity Check for Updates

En outre, vous pouvez télécharger et installer le correctif correspondant à votre version de l'éditeur Unity. Les liens de téléchargement sont disponibles dans les versions correctrices de la section Détails de vulnérabilité et dans la section Références.

Construire et déployer

Une fois que vous avez mis à jour l'éditeur Unity, vous pouvez procéder à une nouvelle compilation de votre jeu ou application et déployer la nouvelle version fixe.

FAQ

Deux problèmes de mémoire hors limites ont été identifiés qui pourraient conduire à un déni de service (DoS), permettant à un attaquant de bloquer le processus Unity, et potentiellement le jeu ou l'application.

Oui. Les jeux et applications créés avec l ' éditeur Unity à l ' aide de la fonctionnalité Unity Multiplayer et Networking UNET sont concernés.

Seul Unity UNET est affecté par les vulnérabilités identifiées.

Cela dépend de la version spécifique de l'éditeur Unity que vous utilisez. La plupart des clients seront en mesure de mettre à jour vers les versions corrigées sans avoir besoin de reconstruire leurs bundles, mais certains clients peuvent constater que les importateurs d'actifs ont été mis à jour entre la version qu'ils utilisent actuellement et le correctif pour ce point-release. Pour ces clients, la reconstitution de groupe d'actifs peut être nécessaire.

Toutes les plateformes supportées sont concernées.

Toutes les versions de plateforme sont concernées.

Toutes les versions de l'éditeur Unity sont concernées.

Nous avons publié un correctif pour toutes les versions officiellement prises en charge de l'éditeur Unity jusqu'en 2020.2 Alpha. La mise à jour sera intégrée à toutes les versions futures.

Unity publiera un seul patch pour chacune des versions les plus récentes, c'est-à-dire la dernière mise à jour de l'éditeur Unity.

Nous nous concentrons actuellement sur la correction des vulnérabilités identifiées dans toutes les versions officiellement prises en charge jusqu'en 2020.2 Alpha. Nous n'envisageons pas de publier un correctif pour d'autres versions d'Unity.

Nous nous concentrons actuellement sur la correction des vulnérabilités identifiées dans toutes les versions officiellement prises en charge jusqu'en 2020.2 Alpha. Nous n'envisageons pas de publier un correctif pour d'autres versions d'Unity

Vous devrez peut-être reconstruire vos bundles si des ressources sont réimportées lors de la première ouverture de votre projet dans la version corrigée de l'éditeur Unity.

Références