Apple, GitLab, Trend Micro… Les alertes sécurité de la semaine

Failles sécurité semaine 29 mars

Quels logiciels faut-il penser à patcher ? Tour d’horizon sur la base des avis de sécurité que le CERT-FR a diffusés cette semaine.

Citrix, F5, Google, Red Hat, Zimbra… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR.

Comme la semaine dernière, F5 fut le premier. Le groupe américain a corrigé une faille dans les versions 11.x à 16.x de son produit phare BIG-IP. Notée 5,3/10 sur l’échelle CVSS v3, elle peut occasionner des dénis de service. En cause, une protection insuffisante contre le SYN flood dans le composant SNAT. À noter que l’installation du patch sur les versions 14.x et 16.x ouvre d’autres brèches, au niveau de la gestion du trafic et du suivi de l’état système.

Également le 29 mars, Apple a eu droit à son alerte de sécurité. Sujet : une faille qui semble être – ou au moins avoir été – activement exploitée. Présente aussi bien dans iOS/iPadOS que dans watchOS, elle peut permettre l’injection de code à distance.

Mardi 30 mars, le CERT-FR n’a émis qu’une alerte. Elle concerne Apache SpamAssassin. Toutes les versions du filtre antispam sont sujettes à l’exécution de commandes arbitraires au travers de fichiers de configuration malveillants.

Virtualisation : des dénis de service mais pas que

Au menu du 31 mars, il y eut cinq alertes :

  • Zimbra : 4 failles
    Deux d’entre elles se trouvent dans le composant EXIF de PHP et peuvent engendrer un dépassement de tampon. Score de criticité : jusqu’à 9,8.
    Les deux autres résident dans le serveur Apache. L’une peut permettre de manipuler le tableau de bord de sorte qu’un processus enfant exécutera du code avec les privilèges de son parent. L’autre ouvre la voie à l’usurpation de noms d’utilisateurs… et ainsi au contournement des restrictions d’accès.
  • Citrix Hypervisor : 3 failles
    Deux de ces vulnérabilités touchent toutes les versions de l’hyperviseur encore prises en charge. Elles posent un risque de déni de service sur l’hôte par exécution de code dans une VM invitée. La troisième se trouve uniquement dans la version 8.2 LTSR. Liée à openvswitch, elle peut là aussi entraîner des DoS, mais par l’intermédiaire d’un paquet malveillant qui ferait tomber les suivants.
  • Xen : 1 faille
    Là encore, le principal risque est un déni de service. Le souci, introduit avec le correctif XSA-365, réside dans l’initialisation des pointeurs. Canal d’exploitation : le pilote de stockage blkback.
  • Chrome : 6 failles
    Corrigées à l’occasion du passage de Chrome 89 en version stable sur desktop, elles sont toutes d’une importance haute. Au menu, des dépassements de tas dans TabStrip (prévisualisation d’onglets), de la réutilisation de mémoire dans V8 et l’outil de capture d’écran ou encore une lecture hors limites dans le gestionnaire de processus.
  • vRealize Operations : 2 failles
    L’une est notée 8,6 sur l’échelle CVSS v3. Elle peut permettre le vol d’identifiants – y compris d’administration – par l’intermédiaire de l’API. L’autre, créditée d’un 7,2, ouvre la voie à des écritures arbitraires sur Photon OS par tout utilisateur authentifié.

En local et à distance

La journée du 1er avril fut à peine moins chargée en alertes que la veille. Trend Micro avait ouvert le bal, avec quatre failles dans Apex One (on-prem et SaaS) et OfficeScan XG SP1. Pour ce dernier, il s’agit de l’ultime correctif, la prise en charge ayant cessé fin mars.
Trois de ces failles posent un risque d’élévation de privilèges en local. En déjouant soit les contrôles d’accès, soit le système d’attribution d’autorisations. La quatrième faille pourrait permettre à un utilisateur local de prendre le contrôle de fichiers de journalisation.

Le CERT-FR n’a pas oublié GitLab et sa moisson de failles : pas moins de dix, dont une critique (9,6). Touchant les versions 13.9 et 13.10, elle ouvre la voie à la lecture de fichiers sur le serveur. Une autre faille du même effet existe, avec un score moins élevé (7,5)… et un autre vecteur : une page de wiki.

Du côté de Red Hat Enterprise Linux, on nous signale l’existence de deux failles dans le noyau. L’une au niveau du téléscripteur ; l’autre dans le sous-système de suivi des performances. Leur point commun : un risque de corruption de mémoire suivie d’une élévation de privilèges.

Alerte également pour la solution de supervision d’infrastructures Nagios XI. Le souci : une validation inadéquate des adresses mail. Assez pour qu’un utilisateur authentifié puisse éventuellement injecter du code à distance.

Illustration principale © maciek905 – Adobe Stock