Citrix, F5, Google, Red Hat, Zimbra… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR.
Comme la semaine dernière, F5 fut le premier. Le groupe américain a corrigé une faille dans les versions 11.x à 16.x de son produit phare BIG-IP. Notée 5,3/10 sur l’échelle CVSS v3, elle peut occasionner des dénis de service. En cause, une protection insuffisante contre le SYN flood dans le composant SNAT. À noter que l’installation du patch sur les versions 14.x et 16.x ouvre d’autres brèches, au niveau de la gestion du trafic et du suivi de l’état système.
Également le 29 mars, Apple a eu droit à son alerte de sécurité. Sujet : une faille qui semble être – ou au moins avoir été – activement exploitée. Présente aussi bien dans iOS/iPadOS que dans watchOS, elle peut permettre l’injection de code à distance.
Mardi 30 mars, le CERT-FR n’a émis qu’une alerte. Elle concerne Apache SpamAssassin. Toutes les versions du filtre antispam sont sujettes à l’exécution de commandes arbitraires au travers de fichiers de configuration malveillants.
Au menu du 31 mars, il y eut cinq alertes :
La journée du 1er avril fut à peine moins chargée en alertes que la veille. Trend Micro avait ouvert le bal, avec quatre failles dans Apex One (on-prem et SaaS) et OfficeScan XG SP1. Pour ce dernier, il s’agit de l’ultime correctif, la prise en charge ayant cessé fin mars.
Trois de ces failles posent un risque d’élévation de privilèges en local. En déjouant soit les contrôles d’accès, soit le système d’attribution d’autorisations. La quatrième faille pourrait permettre à un utilisateur local de prendre le contrôle de fichiers de journalisation.
Le CERT-FR n’a pas oublié GitLab et sa moisson de failles : pas moins de dix, dont une critique (9,6). Touchant les versions 13.9 et 13.10, elle ouvre la voie à la lecture de fichiers sur le serveur. Une autre faille du même effet existe, avec un score moins élevé (7,5)… et un autre vecteur : une page de wiki.
Du côté de Red Hat Enterprise Linux, on nous signale l’existence de deux failles dans le noyau. L’une au niveau du téléscripteur ; l’autre dans le sous-système de suivi des performances. Leur point commun : un risque de corruption de mémoire suivie d’une élévation de privilèges.
Alerte également pour la solution de supervision d’infrastructures Nagios XI. Le souci : une validation inadéquate des adresses mail. Assez pour qu’un utilisateur authentifié puisse éventuellement injecter du code à distance.
Illustration principale © maciek905 – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…