Log4j : SolarWinds rattrapé par la faille

Attaquer Log4j ? Il y a SolarWinds pour ça. Un de ses logiciels abrite en tout cas une faille susceptible de permettre de telles attaques.

Ce logiciel, c'est Serv-U, un serveur de fichiers multiprotocole (FTP/S, HTTP/S, SFTP). La vulnérabilité en question tient à une mauvaise validation des entrées sur la console web pour l'authentification LDAP. Conséquence potentielle : la création de requêtes vérolées. Qui pourraient cible, entre autres, la bibliothèque Log4j.

Créditée d'un score de 4,3 sur l'échelle CVSS (sévérité moyenne), la faille touche toutes les versions de Serv-U jusqu'à la 15.2.5. Pour se protéger, il faut installer la 15.3, publiée la semaine dernière.

En plus de combler la faille, cette nouvelle version renforce la sécurité du logiciel. Entre autres en imposant par défaut SHA256 lors de la création de certificats. Elle apporte aussi la prise en charge du glisser-déplacer pour les téléversements, la capacité de télécharger plusieurs zip en parallèle et une option pour basculer entre l'ancien et le nouveau client web.

So, what's the deal with my discovery of CVE-2021-35247 and how is it related to #log4j / #log4shell? Read here: https://t.co/rM4NLhe0ka

- Jonathan Bar Or (JBO, 0x3d5157636b525761) (@yo_yo_yo_jbo) January 19, 2022

Photo d'illustration © monsitj - Adobe Stock