Pour gérer vos consentements :
Categories: Sécurité

Adobe, PostgreSQL, Xen… Les alertes sécurité de la semaine

Citrix, Google, SAP… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR.

Les premières alertes ont porté sur deux noyaux Linux. D’un côté, celui d’Ubuntu. Avec deux types de risques : le déni de service (entre autres dans le sous-système perf, le protocole LLCP et plusieurs pilotes) et l’exécution locale de code malveillant (eBPF, pilote Firewire…). De l’autre, celui de SUSE, avec le même type de risques dans les compilateurs BPF et le système de fichiers FUSE.

PostgreSQL et Edge sont aussi apparus dans le fil d’avis du CERT-FR lundi 7 juin. Le premier, pour un risque d’exécution de code malveillant au travers de fonctions paramétrées en SECURITY DEFINER. Le second, pour un problème d’élévation de privilèges.

SAP a fait l’objet d’une alerte mardi, à la suite de sa diffusion mensuelle de correctifs. Au programme, 40 failles, dont deux critiques. L’une notée 9 sur l’échelle CVSS et liée à un problème d’authentification dans NetWeaver ABAP. L’autre créditée d’un 9,8 et pouvant occasionner l’exécution distante de code dans SAP Commerce, par le biais des règles sources.

Volume de vulnérabilités comparable pour Android dans le bulletin de sécurité de juin. Cinq d’entre elles sont critiques. Deux se trouvent dans le système (élévation de privilèges et exécution distante de code) ; trois, dans les composants à code source fermé de Qualcomm.

Des alertes SCADA sont également tombées. En l’occurrence, pour Siemens et Schneider Electric. Chez le premier, 25 failles, dont une notée 9,8. Elle fait partie d’une série de vulnérabilités dans le composant NTP (protocole de synchronisation d’horloge). Chez le second, 26 failles. Avec là aussi un 9,8, pour trois vulnérabilités dans des passerelles PowerLogic. Le cause : une mauvaise validation d’entrées. La conséquence potentielle : déni de service et/ou exécution de code à distance.

Du lourd chez Intel et Microsoft

Adobe aussi a eu droit à son alerte. Au programme, cinq failles, toutes notées 7,8, dans Acrobat et Reader. Autant de portes d’entrée à l’exécution de code malveillant en local. Entre autres par des lectures hors limites.

Chez Citrix, on recense trois failles. Elles touchent les composants ADC, Cloud Connector, Gateway et SD-WAN WANOP. Leur nature : détournement de l’authentification SAML, DoS sur la couche 2 et stockage de données sensibles dans des logs d’installation.

L’alerte la plus « volumineuse » de la semaine sur le fil du CERT-FR concerne les produits Intel. Sur les 69 failles listées, les plus graves sont notées entre 7 et 8. Elles touchent notamment les contrôleurs Thunderbolt, le firmware des NUC et la virtualisation matérielle.

Beaucoup de failles également chez Microsoft, en conséquence du Patch Tuesday : près d’une soixantaine, dont 11 dans les produits Office et 26 sur les différentes éditions de Windows.

Autre noyau Linux objet d’une alerte : celui de Red Hat. En particulier pour des soucis dans les pilotes graphiques Intel. Dont un dépassement d’entier.

Pour Xen, c’est notamment sur Arm que ça se passe. Avec un défaut de protection d’informations sensibles au niveau des modules de démarrage. Il existe un problème du même type chez Palo Alto, au niveau de la console Prisma Cloud Compte (exposition de secrets dans des logs). En plus de problèmes avec l’agent Cortex XDR sur Windows et avec Bridgecrew Checkov (mauvaise désérialisation des fichiers Terraform).

Photo d’illustration © maciek905 – Adobe Stock

Recent Posts

RGPD : vers une nouvelle méthode de calcul des amendes

Le Comité européen de la protection des données (CEPD) a adopté de nouvelles lignes directrices…

2 heures ago

Qui utilise (vraiment) les outils low code et no code ?

Près de 5 développeurs sur 10 utilisent des outils low / no code. Mais pour…

19 heures ago

DevSecOps : Snyk nomme Adi Sharabani CTO

Snyk a recruté Adi Sharabani au poste de chief technology officer. Il encadre l'évolution technique…

19 heures ago

JavaScript : Meta bascule Jest en open source

Meta a officiellement transféré Jest, son framework de test, à la Fondation OpenJS. Celle-ci s’engage…

21 heures ago

Avec Viva Goals, Microsoft rassemble les collaborateurs autour des objectifs business

Microsoft continue d’étoffer sa plateforme Viva, dédiée à l’expérience collaborateur, en lançant Viva Goals, un…

21 heures ago

Développeurs : Google Cloud pousse Assured OSS

Google Cloud va distribuer un catalogue de bibliothèques logicielles open source approuvées par ses soins.…

1 jour ago