Apple, Moodle, SUSE… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR.
Avant eux, il y eut notamment Ivanti, avec une faille dans son VPN Pulse Connect Secure. Notée 8,5 sur l’échelle CVSS 3.1, elle peut permettre à un utilisateur authentifié d’exécuter du code à distance en tant que root. En attendant la publication d’une mise à jour, on peut importer un fichier XML qui désactivera la ressource problématique : l’explorateur de partages Windows.
On aura eu droit à une alerte SCADA, portant sur Siemens. Au total, quatre failles, toutes créditées du même score (7,8). Elles sont liées à un mauvais traitement des fichiers ASM et PAR dans deux outils de visualisation (JT2go et Teamcenter Visualization). Les risques : l’extraction de données et l’exécution locale de code dans le contexte des processus.
Pour Moodle, le compteur en est à sept failles. Quatre sont « sérieuses ». Elles ouvrent la voie à :
Comme chaque semaine ou presque, on a eu droit à des alertes CERT-FR sur les noyaux de différentes distributions Linux. Cette fois, essentiellement SUSE. Avec plusieurs dizaines de failles dont une de type Spectre (exécution spéculative hors limites).
Ubuntu aussi a fait l’objet d’une avis du CERT-FR. Plus précisément pour le kernel destiné aux Raspberry Pi. Les problèmes résolus touchent pour beaucoup à des pilotes. Entre autres Nouveau (pilote graphique ; risque de déni de service local), RLT8188EU (pilote wireless ; même risque) et fastrpc (pour les appels à distance ; risque d’élévation de privilèges).
Autre produit de sécurité signalé cette semaine : Stormshield Endpoint Security. Au menu, une faille, notée 6.5. Elle pose un risque de déni de service à travers le messages de renégociation OpenSSL.
Chez Cisco, on n’est pas dans le déni de service, mais dans l’exécution distante de code (score : 8,8). Sur trois solutions : Modeling Labs, Prime Infrastructure et Evolved Programmable Network Manager. En cause, une validation insuffisante d’entrées sur l’UI web.
Chez Apple, c’est d’élévation de privilèges qu’il s’agit. Produit touché : Boot Camp. Chez Mozilla, l’alerte de la semaine porte sur Thunderbird. Avec deux éléments. D’un côté, l’absence d’indication de messages partiellement protégés (contenus chiffrés inline). De l’autre, l’absence de chiffrement des clés OpenPGP importées sur certaines versions du client.
Photo d’illustration © maciek905 – Adobe Stock
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…