Cisco, IBM, Mozilla… Les alertes sécurité de la semaine

Adobe, Cisco, F5, Foxit, IBM, Mozilla… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR*.

F5 fut le premier, lundi 22 mars. Le groupe américain a corrigé une faille dans les versions 14.x et 16.x de son produit phare BIG-IP. Notée 5,3/10 sur l’échelle CVSS, elle pouvait occasionner des dénis de service. En cause, une mauvaise gestion des limites mémoire, entraînant le rejet de fragments IP.

Également le 22 mars, IBM a eu droit à son alerte de sécurité. Non pas pour un, mais pour trois produits. En tête de liste, Db2, victime de deux failles. L’une, notée 8,4, peut entraîner un dépassement de tampon dans le gestionnaire d’instances db2fm… et ouvrir la voie à l’exécution de code par un utilisateur local au niveau root. L’autre, créditée d’un 7,5, peut causer un déni de service sans authentification. Elle réside dans la procédure de négociation SSL.
Les deux autres produits IBM affectés sont WebSphere Cast Iron Solution et App Connect Solution. Les deux failles qui les touchent se trouvent dans le SDK Java. L’une a un score de criticité très élevé (9,8). Elle peut permettre l’exécution de code à distance en déclenchant un dépassement de pile dans la VM OpenJ9.

Lundi est par ailleurs tombée une alerte sur de multiples vulnérabilités dans le noyau Linux. Plusieurs concernent le sous-système iSCSI. Elles posent essentiellement des risques de déni de service et d’exécution locale de code. Mais aussi de fuite de données sensibles, au travers de la mémoire et des pointeurs du noyau.

Une alerte SCADA

Le CERT-FR a aussi émis trois alertes mardi 23 mars. La première porte sur Foxit Reader et PhantomPDF. Deux logiciels, un même éditeur… et une même faille. Risque : une lecture hors limites lors du traitement de certains fichiers JPEG2000… et un plantage éventuellement suivi d’une exécution de code à distance.

Chez Adobe, il y a également risque d’exécution de code – mais locale – avec plusieurs versions de ColdFusion. En cause, une mauvaise validation d’entrées. Sur certaines de ces versions, l’installation du correctif devra s’accompagner d’une mise à jour manuelle de JDK/JRE.

Des vulnérabilités, il y en a aussi dans l’univers SCADA, avec le routeur industriel Moxa EDR-810. Dix au total, entre mauvaise gestion de ressources et problèmes de chiffrement. Parmi les conséquences potentielles figurent le déni de service par DHCP, l’élévation de privilèges via SSH, le déchiffrement de données sur SSL ou encore la récupération d’informations dans la mémoire de processus par déclenchement d’une erreur de décodage.

Mercredi 24 mars, le CERT-FR s’est a nouveau fait l’écho de fragilités dans le noyau Linux. D’un côté, les failles iSCSI annoncées l’avant-veille, mais sur davantage de distributions. De l’autre, des vulnérabilités susceptibles de déjouer les protections contre Spectre. Principale conséquence : l’accès à la mémoire du noyau.

Le même jour, Samba a eu droit à une alerte, pour deux vulnérabilités dans son serveur LDAP, lorsque celui-ci est utilisé comme contrôleur de domaine Active Directory.
La première faille peut déclencher une corruption de tas lors de l’envoi d’une requête d’association. Elle peut faire planter le serveur et éventuellement corrompre des données. La deuxième exploite les filtres LDAP. Elle peut mener à l’extraction d’informations.

24 failles de sécurité chez Cisco

Pour Mozilla, ce fut double dose. Avec d’une part Firefox et de l’autre, Thunderbird. Les deux logiciels partagent la quasi-totalité des failles signalées. Leurs conséquences vont de l’exfiltration de données après injection de textures à la reconnaissance réseau (hôtes et services) via WebRTC.

La dernière alerte en date est remontée jeudi 25 mars. Au menu, une vingtaine de failles dans les produits Cisco. Jabber en fait partie, comme les points d’accès Aironet. Mais au premier rang, il y a le système d’exploitation IOS XE. Parmi les failles corrigées :

• Une mauvaise validation d’arguments dans le firmware de switchs industriels. Elle pouvait occasionner l’exécution, au démarrage, de code non signé.
• La protection insuffisante de l’interface web, soulevant des risques de déni de service
• Une vulnérabilité dans le sous-système PnP. Elle pouvait donner lieu à l’obtention de tokens, puis à l’exécution de commandes à haut privilège.

* On consultera ces différents avis de sécurité pour avoir la liste précise des versions affectées de chaque logiciel.

Illustration principale © maciek905 – Adobe Stock