Pour gérer vos consentements :
Categories: Sécurité

Aruba, Mitel, VMware… Les alertes sécurité de la semaine

Juniper, Oracle, QNAP, Symantec… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR*.

Mitel a aussi eu droit à son alerte. Il fut même le premier, lundi 19 avril. À son actif, deux failles dans MiCollab. La première, noté 7,1 sur l’échelle CVSSv3, se trouve dans le portail d’administration SAS. De type traversée de répertoire, elle peut permettre à un utilisateur non authentifié de lire et de modifier des données. La seconde se trouve dans le client web, au niveau de la page de connexion aux réunions. Ses conséquences potentielles sont comparables.

Toujours lundi, OpenSSH a fait l’objet d’un avertissement. La cause : une option de débogage introduite le mois dernier. Dans certains cas, on pouvait sortir du bac à sable hébergeant le processus dont elle dépend.

La journée du 19 avril a également été marquée par des alertes de sécurité concernant QNAP, Juniper et VMware. Chez le premier, deux vulnérabilités critiques. L’une dans QTS et QuTS hero. L’autre sur les NAS dotés de l’add-on Multimedia Console ou Media Streaming. Chez le deuxième, un risque de déni de service lié à une mauvaise gestion des accès mémoire sur les switchs EX4300. Chez le troisième, une éventuelle élévation de privilèges dans NSX-T au niveau du RBAC.

Une autre alerte relative à Juniper est tombée le lendemain. Au menu, 33 failles. La plus critique, notée 10/10, affecte Junos OS. Elle peut permettre la prise de contrôle de toute instance d’un déploiement NFX via les interfaces d’admin, grâce à des identifiants codés en dur. Une autre, créditée d’un 9,8, expose à l’exécution distante de code. Elle réside dans le démon qui gère les paquets OAM (de type ping et traceroute). Démon actif par défaut sur les routeurs MX et ACX, ainsi que les switchs QFX.

Le patch d’Oracle alourdit le bilan

Mardi, Mozilla fut également sur la liste, avec Firefox et Thunderbird. Pas de vulnérabilités critiques, mais plusieurs d’importance haute. Parmi elles, une écriture hors limites due à l’initialisation tardive d’un buffer WebGL.

Mercredi, on a dépassé la centaine de failles dans le cadre des différentes alertes relatives aux produits Oracle. On aura relevé un 10/10 pour une faille dans ZFS Storage Appliance et pour deux autres dans Secure Global Desktop. Ou encore du 9,8 pour Enterprise Monitor (composant de MySQL) et Fusion Middleware.

Le même jour, Aruba est apparu sur le fil du CERT-FR. Au programme, 21 failles, dans AirWave Management Platform et ClearPass Policy Manager. Pour le premier de ces produits, la vulnérabilité la plus critique (8.1) permet à un utilisateur non authentifié de passer admin sur l’interface web. Pour le second, on est à 9,8, avec un risque d’exécution de code à distance, là aussi via l’UI web.

Un autre 9,8 recensé mercredi est venu de Symantec. Le souci : l’interface web de Security Analytics, porte ouverte à l’injection de commandes système avec haut privilège. Peu après, le CERT-FR ajoutait Google Chrome à son fil, dans le cadre de la mise à jour du navigateur sur desktop. Cinq failles listées, toutes d’importance haute : dépassement de tas dans V8, d’entier dans Mojo, etc.

De la partie la semaine dernière, SonicWall l’est à nouveau, avec une faille dans son logiciel Email Security. Même sort pour IBM, avec des alertes sur trois jours consécutifs, à propos de WebSphere.

* On consultera ces différents avis de sécurité pour avoir la liste précise des versions affectées de chaque logiciel.

Illustration principale © maciek905 – Adobe Stock

Recent Posts

Dell Technologies dévoile ses offres Apex « as-a-service »

Calcul, stockage, mise en réseau... Dell lance les premières offres et solutions d'infrastructure « as-a-service…

8 heures ago

Belnet : une cyberattaque au motif politique ?

Belnet, le FAI des institutions belges, a connu mardi un DDoS d'ampleur. L'attaque a compromis…

8 heures ago

DevSecOps : 5 clés du rapport GitLab 2021

Les délais de déploiement sont plus courts, mais les tests logiciels restent un point de…

10 heures ago

Cloud : la souveraineté, seule variable du marché européen ?

L'enjeu de souveraineté sera au coeur des évolutions du marché européen du cloud, selon une…

12 heures ago

Anthony Cirot, nouveau Directeur général de Google Cloud France

En provenance de VMware, Anthony Cirot prend le poste de Directeur général de Google Cloud…

15 heures ago

PSE IBM France : la direction embraye sur un PDV

Le plan social d'IBM France ne devrait finalement impliquer que des départs volontaires. L'intersyndicale se…

16 heures ago