Adobe, PostgreSQL, Xen... Les alertes sécurité de la semaine

Quels logiciels faut-il penser à patcher ? Tour d’horizon sur la base des avis de sécurité que la CERT-FR a diffusés cette semaine.

Citrix, Google, SAP… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR.

Les premières alertes ont porté sur deux noyaux Linux. D’un côté, celui d’Ubuntu. Avec deux types de risques : le déni de service (entre autres dans le sous-système perf, le protocole LLCP et plusieurs pilotes) et l’exécution locale de code malveillant (eBPF, pilote Firewire…). De l’autre, celui de SUSE, avec le même type de risques dans les compilateurs BPF et le système de fichiers FUSE.

PostgreSQL et Edge sont aussi apparus dans le fil d’avis du CERT-FR lundi 7 juin. Le premier, pour un risque d’exécution de code malveillant au travers de fonctions paramétrées en SECURITY DEFINER. Le second, pour un problème d’élévation de privilèges.

SAP a fait l’objet d’une alerte mardi, à la suite de sa diffusion mensuelle de correctifs. Au programme, 40 failles, dont deux critiques. L’une notée 9 sur l’échelle CVSS et liée à un problème d’authentification dans NetWeaver ABAP. L’autre créditée d’un 9,8 et pouvant occasionner l’exécution distante de code dans SAP Commerce, par le biais des règles sources.

Volume de vulnérabilités comparable pour Android dans le bulletin de sécurité de juin. Cinq d’entre elles sont critiques. Deux se trouvent dans le système (élévation de privilèges et exécution distante de code) ; trois, dans les composants à code source fermé de Qualcomm.

Des alertes SCADA sont également tombées. En l’occurrence, pour Siemens et Schneider Electric. Chez le premier, 25 failles, dont une notée 9,8. Elle fait partie d’une série de vulnérabilités dans le composant NTP (protocole de synchronisation d’horloge). Chez le second, 26 failles. Avec là aussi un 9,8, pour trois vulnérabilités dans des passerelles PowerLogic. Le cause : une mauvaise validation d’entrées. La conséquence potentielle : déni de service et/ou exécution de code à distance.

Du lourd chez Intel et Microsoft

Adobe aussi a eu droit à son alerte. Au programme, cinq failles, toutes notées 7,8, dans Acrobat et Reader. Autant de portes d’entrée à l’exécution de code malveillant en local. Entre autres par des lectures hors limites.

Chez Citrix, on recense trois failles. Elles touchent les composants ADC, Cloud Connector, Gateway et SD-WAN WANOP. Leur nature : détournement de l’authentification SAML, DoS sur la couche 2 et stockage de données sensibles dans des logs d’installation.

L’alerte la plus « volumineuse » de la semaine sur le fil du CERT-FR concerne les produits Intel. Sur les 69 failles listées, les plus graves sont notées entre 7 et 8. Elles touchent notamment les contrôleurs Thunderbolt, le firmware des NUC et la virtualisation matérielle.

Beaucoup de failles également chez Microsoft, en conséquence du Patch Tuesday : près d’une soixantaine, dont 11 dans les produits Office et 26 sur les différentes éditions de Windows.

Autre noyau Linux objet d’une alerte : celui de Red Hat. En particulier pour des soucis dans les pilotes graphiques Intel. Dont un dépassement d’entier.

Pour Xen, c’est notamment sur Arm que ça se passe. Avec un défaut de protection d’informations sensibles au niveau des modules de démarrage. Il existe un problème du même type chez Palo Alto, au niveau de la console Prisma Cloud Compte (exposition de secrets dans des logs). En plus de problèmes avec l’agent Cortex XDR sur Windows et avec Bridgecrew Checkov (mauvaise désérialisation des fichiers Terraform).

Lire aussi : Cisco, Ivanti, Stormshield… Les alertes sécurité de la semaine