Pour gérer vos consentements :
Categories: Sécurité

Cisco, Ivanti, Stormshield… Les alertes sécurité de la semaine

Apple, Moodle, SUSE… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR.

Avant eux, il y eut notamment Ivanti, avec une faille dans son VPN Pulse Connect Secure. Notée 8,5 sur l’échelle CVSS 3.1, elle peut permettre à un utilisateur authentifié d’exécuter du code à distance en tant que root. En attendant la publication d’une mise à jour, on peut importer un fichier XML qui désactivera la ressource problématique : l’explorateur de partages Windows.

On aura eu droit à une alerte SCADA, portant sur Siemens. Au total, quatre failles, toutes créditées du même score (7,8). Elles sont liées à un mauvais traitement des fichiers ASM et PAR dans deux outils de visualisation (JT2go et Teamcenter Visualization). Les risques : l’extraction de données et l’exécution locale de code dans le contexte des processus.

Pour Moodle, le compteur en est à sept failles. Quatre sont « sérieuses ». Elles ouvrent la voie à :

  • L’exportation, par un profil enseignant, des forums de tous les cours et non seulement des siens
  • La consultation, par un profil apprenant, de son score de réussite avant sa publication
  • Des injections SQL sur les sites où le serveur d’échanges MNet est activé et configuré
  • Des dénis de service dans la zone des brouillons, faute d’un plafonnement effectif des limites de téléversement

Comme chaque semaine ou presque, on a eu droit à des alertes CERT-FR sur les noyaux de différentes distributions Linux. Cette fois, essentiellement SUSE. Avec plusieurs dizaines de failles dont une de type Spectre (exécution spéculative hors limites).

Boot Camp et Raspberry Pi

Ubuntu aussi a fait l’objet d’une avis du CERT-FR. Plus précisément pour le kernel destiné aux Raspberry Pi. Les problèmes résolus touchent pour beaucoup à des pilotes. Entre autres Nouveau (pilote graphique ; risque de déni de service local), RLT8188EU (pilote wireless ; même risque) et fastrpc (pour les appels à distance ; risque d’élévation de privilèges).

Autre produit de sécurité signalé cette semaine : Stormshield Endpoint Security. Au menu, une faille, notée 6.5. Elle pose un risque de déni de service à travers le messages de renégociation OpenSSL.

Chez Cisco, on n’est pas dans le déni de service, mais dans l’exécution distante de code (score : 8,8). Sur trois solutions : Modeling Labs, Prime Infrastructure et Evolved Programmable Network Manager. En cause, une validation insuffisante d’entrées sur l’UI web.

Chez Apple, c’est d’élévation de privilèges qu’il s’agit. Produit touché : Boot Camp. Chez Mozilla, l’alerte de la semaine porte sur Thunderbird. Avec deux éléments. D’un côté, l’absence d’indication de messages partiellement protégés (contenus chiffrés inline). De l’autre, l’absence de chiffrement des clés OpenPGP importées sur certaines versions du client.

Photo d’illustration © maciek905 – Adobe Stock

Share
Published by
Clément Bohic
Tags: CERT-FR
3 années ago

Recent Posts

GPT-4o : où, quand et pour qui ?

OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.

2 jours ago

Nom de domaine : Twitter définitivement remplacé par X

Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…

2 jours ago

Microsoft propose une délocalisation hors de Chine à ses ingénieurs IA et Cloud

Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…

2 jours ago

Du « Monde » à Reddit, le point sur les partenariats data d’OpenAI

Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?

2 jours ago

Comment Younited a appliqué la GenAI au crédit conso

Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…

2 jours ago

Processeurs : les États-Unis fabriqueront 30 % des puces avancées d’ici 2032

Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…

3 jours ago