Citrix, F5, Google, Red Hat, Zimbra… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR.
Comme la semaine dernière, F5 fut le premier. Le groupe américain a corrigé une faille dans les versions 11.x à 16.x de son produit phare BIG-IP. Notée 5,3/10 sur l’échelle CVSS v3, elle peut occasionner des dénis de service. En cause, une protection insuffisante contre le SYN flood dans le composant SNAT. À noter que l’installation du patch sur les versions 14.x et 16.x ouvre d’autres brèches, au niveau de la gestion du trafic et du suivi de l’état système.
Également le 29 mars, Apple a eu droit à son alerte de sécurité. Sujet : une faille qui semble être – ou au moins avoir été – activement exploitée. Présente aussi bien dans iOS/iPadOS que dans watchOS, elle peut permettre l’injection de code à distance.
Mardi 30 mars, le CERT-FR n’a émis qu’une alerte. Elle concerne Apache SpamAssassin. Toutes les versions du filtre antispam sont sujettes à l’exécution de commandes arbitraires au travers de fichiers de configuration malveillants.
Au menu du 31 mars, il y eut cinq alertes :
La journée du 1er avril fut à peine moins chargée en alertes que la veille. Trend Micro avait ouvert le bal, avec quatre failles dans Apex One (on-prem et SaaS) et OfficeScan XG SP1. Pour ce dernier, il s’agit de l’ultime correctif, la prise en charge ayant cessé fin mars.
Trois de ces failles posent un risque d’élévation de privilèges en local. En déjouant soit les contrôles d’accès, soit le système d’attribution d’autorisations. La quatrième faille pourrait permettre à un utilisateur local de prendre le contrôle de fichiers de journalisation.
Le CERT-FR n’a pas oublié GitLab et sa moisson de failles : pas moins de dix, dont une critique (9,6). Touchant les versions 13.9 et 13.10, elle ouvre la voie à la lecture de fichiers sur le serveur. Une autre faille du même effet existe, avec un score moins élevé (7,5)… et un autre vecteur : une page de wiki.
Du côté de Red Hat Enterprise Linux, on nous signale l’existence de deux failles dans le noyau. L’une au niveau du téléscripteur ; l’autre dans le sous-système de suivi des performances. Leur point commun : un risque de corruption de mémoire suivie d’une élévation de privilèges.
Alerte également pour la solution de supervision d’infrastructures Nagios XI. Le souci : une validation inadéquate des adresses mail. Assez pour qu’un utilisateur authentifié puisse éventuellement injecter du code à distance.
Illustration principale © maciek905 – Adobe Stock
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…