Attaquer Log4j ? Il y a SolarWinds pour ça. Un de ses logiciels abrite en tout cas une faille susceptible de permettre de telles attaques.
Ce logiciel, c’est Serv-U, un serveur de fichiers multiprotocole (FTP/S, HTTP/S, SFTP). La vulnérabilité en question tient à une mauvaise validation des entrées sur la console web pour l’authentification LDAP. Conséquence potentielle : la création de requêtes vérolées. Qui pourraient cible, entre autres, la bibliothèque Log4j.
Créditée d’un score de 4,3 sur l’échelle CVSS (sévérité moyenne), la faille touche toutes les versions de Serv-U jusqu’à la 15.2.5. Pour se protéger, il faut installer la 15.3, publiée la semaine dernière.
En plus de combler la faille, cette nouvelle version renforce la sécurité du logiciel. Entre autres en imposant par défaut SHA256 lors de la création de certificats. Elle apporte aussi la prise en charge du glisser-déplacer pour les téléversements, la capacité de télécharger plusieurs zip en parallèle et une option pour basculer entre l’ancien et le nouveau client web.
Photo d’illustration © monsitj – Adobe Stock
Airbus renonce au rachat de l'activité Big Data & Security ( BDS) d’Atos. Un nouvel…
OneTrust nomme Vanessa Cugniere au poste de Country Manager pour la France.
Apple donne un aperçu supplémentaire de ses travaux LLM multimodaux avec un article consacré à…
Pour Luc Julia, inventeur de Siri, l’essor des IA génératives n’est pas une révolution qui…
Un LLM dont on publie poids et code d'inférence est-il « open source » ?…
Avec PROQCIMA, L'État vise le développement d'ordinateurs quantiques à destination des armées. Il a sollicité…