Apple, Moodle, SUSE… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR.
Avant eux, il y eut notamment Ivanti, avec une faille dans son VPN Pulse Connect Secure. Notée 8,5 sur l’échelle CVSS 3.1, elle peut permettre à un utilisateur authentifié d’exécuter du code à distance en tant que root. En attendant la publication d’une mise à jour, on peut importer un fichier XML qui désactivera la ressource problématique : l’explorateur de partages Windows.
On aura eu droit à une alerte SCADA, portant sur Siemens. Au total, quatre failles, toutes créditées du même score (7,8). Elles sont liées à un mauvais traitement des fichiers ASM et PAR dans deux outils de visualisation (JT2go et Teamcenter Visualization). Les risques : l’extraction de données et l’exécution locale de code dans le contexte des processus.
Pour Moodle, le compteur en est à sept failles. Quatre sont « sérieuses ». Elles ouvrent la voie à :
Comme chaque semaine ou presque, on a eu droit à des alertes CERT-FR sur les noyaux de différentes distributions Linux. Cette fois, essentiellement SUSE. Avec plusieurs dizaines de failles dont une de type Spectre (exécution spéculative hors limites).
Ubuntu aussi a fait l’objet d’une avis du CERT-FR. Plus précisément pour le kernel destiné aux Raspberry Pi. Les problèmes résolus touchent pour beaucoup à des pilotes. Entre autres Nouveau (pilote graphique ; risque de déni de service local), RLT8188EU (pilote wireless ; même risque) et fastrpc (pour les appels à distance ; risque d’élévation de privilèges).
Autre produit de sécurité signalé cette semaine : Stormshield Endpoint Security. Au menu, une faille, notée 6.5. Elle pose un risque de déni de service à travers le messages de renégociation OpenSSL.
Chez Cisco, on n’est pas dans le déni de service, mais dans l’exécution distante de code (score : 8,8). Sur trois solutions : Modeling Labs, Prime Infrastructure et Evolved Programmable Network Manager. En cause, une validation insuffisante d’entrées sur l’UI web.
Chez Apple, c’est d’élévation de privilèges qu’il s’agit. Produit touché : Boot Camp. Chez Mozilla, l’alerte de la semaine porte sur Thunderbird. Avec deux éléments. D’un côté, l’absence d’indication de messages partiellement protégés (contenus chiffrés inline). De l’autre, l’absence de chiffrement des clés OpenPGP importées sur certaines versions du client.
Photo d’illustration © maciek905 – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…