Log4j : SolarWinds rattrapé par la faille

Log4j sanctions

On a découvert, dans l’un des logiciels de SolarWinds, une faille susceptible de favoriser des attaques LDAP… y compris contre Log4j.

Attaquer Log4j ? Il y a SolarWinds pour ça. Un de ses logiciels abrite en tout cas une faille susceptible de permettre de telles attaques.

Ce logiciel, c’est Serv-U, un serveur de fichiers multiprotocole (FTP/S, HTTP/S, SFTP). La vulnérabilité en question tient à une mauvaise validation des entrées sur la console web pour l’authentification LDAP. Conséquence potentielle : la création de requêtes vérolées. Qui pourraient cible, entre autres, la bibliothèque Log4j.

Créditée d’un score de 4,3 sur l’échelle CVSS (sévérité moyenne), la faille touche toutes les versions de Serv-U jusqu’à la 15.2.5. Pour se protéger, il faut installer la 15.3, publiée la semaine dernière.

En plus de combler la faille, cette nouvelle version renforce la sécurité du logiciel. Entre autres en imposant par défaut SHA256 lors de la création de certificats. Elle apporte aussi la prise en charge du glisser-déplacer pour les téléversements, la capacité de télécharger plusieurs zip en parallèle et une option pour basculer entre l’ancien et le nouveau client web.

Photo d'illustration © monsitj - Adobe Stock