Attaquer Log4j ? Il y a SolarWinds pour ça. Un de ses logiciels abrite en tout cas une faille susceptible de permettre de telles attaques.
Ce logiciel, c’est Serv-U, un serveur de fichiers multiprotocole (FTP/S, HTTP/S, SFTP). La vulnérabilité en question tient à une mauvaise validation des entrées sur la console web pour l’authentification LDAP. Conséquence potentielle : la création de requêtes vérolées. Qui pourraient cible, entre autres, la bibliothèque Log4j.
Créditée d’un score de 4,3 sur l’échelle CVSS (sévérité moyenne), la faille touche toutes les versions de Serv-U jusqu’à la 15.2.5. Pour se protéger, il faut installer la 15.3, publiée la semaine dernière.
En plus de combler la faille, cette nouvelle version renforce la sécurité du logiciel. Entre autres en imposant par défaut SHA256 lors de la création de certificats. Elle apporte aussi la prise en charge du glisser-déplacer pour les téléversements, la capacité de télécharger plusieurs zip en parallèle et une option pour basculer entre l’ancien et le nouveau client web.
Photo d’illustration © monsitj – Adobe Stock
Le CESIN publie une étude qui témoigne d’une vraie « cyber-crispation » des dirigeants d’entreprises…
Le fabricant américain de semi-conducteurs Broadcom pourrait acquérir VMware, spécialiste de la virtualisation et des…
Microsoft a recruté Jason Roszak, chef de produit réputé, pour optimiser la gestion des serveurs…
Utiliser l’énergie éolienne pour contenir la flambée des coûts de l’électricité en Allemagne, c'est le…
La compétence "numérique" est étendue aux prérogatives de Bruno Le Maire, reconduit à la tête…
Microsoft a publié une mise à jour qui permet, pour les testeurs de Windows 11,…