Aruba, Mitel, VMware… Les alertes sécurité de la semaine

Clément Bohic,
failles de sécurité semaine 19 avril

Quels logiciels faut-il penser à patcher ? Tour d’horizon sur la base des avis de sécurité que le CERT-FR a diffusés cette semaine.

Juniper, Oracle, QNAP, Symantec… Autant d’éditeurs qui sont apparus cette semaine dans le fil d’avis de sécurité du CERT-FR*.

Mitel a aussi eu droit à son alerte. Il fut même le premier, lundi 19 avril. À son actif, deux failles dans MiCollab. La première, noté 7,1 sur l’échelle CVSSv3, se trouve dans le portail d’administration SAS. De type traversée de répertoire, elle peut permettre à un utilisateur non authentifié de lire et de modifier des données. La seconde se trouve dans le client web, au niveau de la page de connexion aux réunions. Ses conséquences potentielles sont comparables.

Toujours lundi, OpenSSH a fait l’objet d’un avertissement. La cause : une option de débogage introduite le mois dernier. Dans certains cas, on pouvait sortir du bac à sable hébergeant le processus dont elle dépend.

La journée du 19 avril a également été marquée par des alertes de sécurité concernant QNAP, Juniper et VMware. Chez le premier, deux vulnérabilités critiques. L’une dans QTS et QuTS hero. L’autre sur les NAS dotés de l’add-on Multimedia Console ou Media Streaming. Chez le deuxième, un risque de déni de service lié à une mauvaise gestion des accès mémoire sur les switchs EX4300. Chez le troisième, une éventuelle élévation de privilèges dans NSX-T au niveau du RBAC.

Une autre alerte relative à Juniper est tombée le lendemain. Au menu, 33 failles. La plus critique, notée 10/10, affecte Junos OS. Elle peut permettre la prise de contrôle de toute instance d’un déploiement NFX via les interfaces d’admin, grâce à des identifiants codés en dur. Une autre, créditée d’un 9,8, expose à l’exécution distante de code. Elle réside dans le démon qui gère les paquets OAM (de type ping et traceroute). Démon actif par défaut sur les routeurs MX et ACX, ainsi que les switchs QFX.

Le patch d’Oracle alourdit le bilan

Mardi, Mozilla fut également sur la liste, avec Firefox et Thunderbird. Pas de vulnérabilités critiques, mais plusieurs d’importance haute. Parmi elles, une écriture hors limites due à l’initialisation tardive d’un buffer WebGL.

Mercredi, on a dépassé la centaine de failles dans le cadre des différentes alertes relatives aux produits Oracle. On aura relevé un 10/10 pour une faille dans ZFS Storage Appliance et pour deux autres dans Secure Global Desktop. Ou encore du 9,8 pour Enterprise Monitor (composant de MySQL) et Fusion Middleware.

Le même jour, Aruba est apparu sur le fil du CERT-FR. Au programme, 21 failles, dans AirWave Management Platform et ClearPass Policy Manager. Pour le premier de ces produits, la vulnérabilité la plus critique (8.1) permet à un utilisateur non authentifié de passer admin sur l’interface web. Pour le second, on est à 9,8, avec un risque d’exécution de code à distance, là aussi via l’UI web.

Un autre 9,8 recensé mercredi est venu de Symantec. Le souci : l’interface web de Security Analytics, porte ouverte à l’injection de commandes système avec haut privilège. Peu après, le CERT-FR ajoutait Google Chrome à son fil, dans le cadre de la mise à jour du navigateur sur desktop. Cinq failles listées, toutes d’importance haute : dépassement de tas dans V8, d’entier dans Mojo, etc.

De la partie la semaine dernière, SonicWall l’est à nouveau, avec une faille dans son logiciel Email Security. Même sort pour IBM, avec des alertes sur trois jours consécutifs, à propos de WebSphere.

* On consultera ces différents avis de sécurité pour avoir la liste précise des versions affectées de chaque logiciel.

Illustration principale © maciek905 – Adobe Stock