Attaquer Log4j ? Il y a SolarWinds pour ça. Un de ses logiciels abrite en tout cas une faille susceptible de permettre de telles attaques.
Ce logiciel, c’est Serv-U, un serveur de fichiers multiprotocole (FTP/S, HTTP/S, SFTP). La vulnérabilité en question tient à une mauvaise validation des entrées sur la console web pour l’authentification LDAP. Conséquence potentielle : la création de requêtes vérolées. Qui pourraient cible, entre autres, la bibliothèque Log4j.
Créditée d’un score de 4,3 sur l’échelle CVSS (sévérité moyenne), la faille touche toutes les versions de Serv-U jusqu’à la 15.2.5. Pour se protéger, il faut installer la 15.3, publiée la semaine dernière.
En plus de combler la faille, cette nouvelle version renforce la sécurité du logiciel. Entre autres en imposant par défaut SHA256 lors de la création de certificats. Elle apporte aussi la prise en charge du glisser-déplacer pour les téléversements, la capacité de télécharger plusieurs zip en parallèle et une option pour basculer entre l’ancien et le nouveau client web.
Photo d’illustration © monsitj – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…