Pour gérer vos consentements :
Categories: Sécurité

SAP, Siemens, SonicWall… Les alertes sécurité de la semaine

GitLab, Microsoft, Palo Alto Networks, Schneider Electric… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR*.

Lundi 12 avril, on a eu droit à une seule alerte. Elle porte sur SonicWall. Avec trois failles au programme. La plus critique affiche un score de 9,8/10 sur l’échelle CVSS. Elle réside dans l’outil d’administration GMS (Global Management System). Et présente un risque d’élévation de privilèges à distance, jusqu’au niveau root, le tout sans authentification.
Les deux autres vulnérabilités affectent Email Security. L’une peut permettre la création d’un compte admin par requête HTTP (9,4). L’autre, la création de fichiers arbitraires après authentification (6,7).

Mardi, ce fut au tour de SAP. Avec 14 failles, dont une créditée du score maximal. Son lieu de résidence : le navigateur Chromium embarqué dans SAP Business Client. Haut score également (9,9) pour une vulnérabilité dans SAP Commerce. Elle ouvre la voie à l’injection distante de code dans les règles sources.

Siemens et Schneider Electric au menu SCADA

Mercredi aura été une journée très « SCADA ». Avec d’une part Schneider Electric. Et de l’autre, Siemens. Chez le premier, il est fait état de 7 failles. Dont l’essentiel dans l’outil de configuration des installations C-Bus (automatisation). Les deux plus critiques (8,8) sont de type traversée de répertoire. Elles peuvent engendrer l’exécution de code depuis un fichier envoyé à distance.

Chez Siemens, pas moins de 43 failles. Nucleus est particulièrement touché. Le système d’exploitation temps réel renferme une dizaine de vulnérabilités. D’un côté, dans son module DNS (écriture hors limites, avec pour conséquences possibles un déni de service ou l’exécution de code à distance). De l’autre, la stack IPv6. Parmi les autres produits concernés figure Tecnomatix RobotExpert (simulation de processus), avec un score maximal de criticité de 7,8. Ainsi que SIMATIC NET (mise en réseau ; 9,8), LOGO! Soft Comfort (automatisation ; 8,4) et Siveillance (gestion de vidéosurveillance ; 9,9).

Presque autant de failles (42) chez IBM. Elles découlent quasiment toutes de problèmes avec Java. Infosphere Information Server fait partie des logiciels concernés, au niveau de sa couche microservices. Tivoli aussi, sur sa brique Composite Application Manager for Transactions. Il s’y trouve une faille notée 9,8. Le souci : un dépassement de pile dans Eclipse OpenJ9 lors de la conversion de caractères UTF-8. Le risque : l’exécution de code à distance.

L’Update Tuesday alourdit le bilan

Des alertes sur les navigateurs ont émaillé les journées de mercredi et de jeudi. Plus précisément sur Chrome et Edge. Partageant le même moteur de rendu, ils partagent aussi beaucoup de failles. Dont une part importante pouvant entraîner des réutilisations indésirables de mémoire.
Dans la lignée de l’Update Tuesday, d’autres logiciels Microsoft ont fait l’objet d’avertissements du CERT-FR. En l’occurrence, Office (7 failles) et Windows (79).

GitLab et WordPress furent au menu du 15 avril. Avec deux failles chacun. Chez le premier, on aura relevé un score de 9,9 pour une mauvaise validation d’images dont peut résulter une exécution distante de code. Chez le second, l’API REST et la bibliothèques de médias étaient les deux composants problématiques.

Des failles, il y en a aussi chez Palo Alto Networks. Au nombre de quatre. La plus grave (6,7) se trouve dans le scanner de sécurité IaC Bridgecrew Checkov. Une mauvaise désérialisation des fichiers Terraform peut occasionner l’exécution locale de code malveillant. Les autres touchent GlobalProtect (déni de service via le pilote VPN ; 5,5) et PAN-OS (divulgation de secrets).

* On consultera ces différents avis de sécurité pour avoir la liste précise des versions affectées de chaque logiciel.

Recent Posts

Dell Technologies dévoile ses offres Apex « as-a-service »

Calcul, stockage, mise en réseau... Dell lance les premières offres et solutions d'infrastructure « as-a-service…

7 heures ago

Belnet : une cyberattaque au motif politique ?

Belnet, le FAI des institutions belges, a connu mardi un DDoS d'ampleur. L'attaque a compromis…

7 heures ago

DevSecOps : 5 clés du rapport GitLab 2021

Les délais de déploiement sont plus courts, mais les tests logiciels restent un point de…

10 heures ago

Cloud : la souveraineté, seule variable du marché européen ?

L'enjeu de souveraineté sera au coeur des évolutions du marché européen du cloud, selon une…

11 heures ago

Anthony Cirot, nouveau Directeur général de Google Cloud France

En provenance de VMware, Anthony Cirot prend le poste de Directeur général de Google Cloud…

15 heures ago

PSE IBM France : la direction embraye sur un PDV

Le plan social d'IBM France ne devrait finalement impliquer que des départs volontaires. L'intersyndicale se…

16 heures ago