Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 26
Tableau récapitulatif :
Vulnérabilités critiques du 27/06/22 au 03/07/22
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
IBM | Spectrum Protect Plus | 9.8 | Exécution de code arbitraire | 29/06/2022 | Pas d’information | CERTFR-2022-AVI-597 | https://www.ibm.com/support/pages/node/6596973 | |
IBM | Db2® sur Openshift, Db2® et Db2 Warehouse® sur Cloud Pak | CVE-2018-1002105 | 9.8 | Exécution de code arbitraire | 28/06/2022 | Pas d’information | CERTFR-2022-AVI-591 | https://www.ibm.com/support/pages/node/6599703/ |
Synology | Router Manager (SRM) | CVE-2022-34484 | Injection SQL | 23/06/2022 | Pas d’information | CERTFR-2022-AVI-583 | https://www.synology.com/fr-fr/security/advisory/Synology_SA_22_09 | |
GitLab | Community Edition (CE) et Enterprise Edition (EE) | CVE-2022-2185 | 9.9 | Exécution de code arbitraire à distance | 30/06/2022 | Pas d’information | CERTFR-2022-AVI-598 | https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/#remote-command-execution-via-project-imports |
Autres vulnérabilités
CVE-2022-30333 : Vulnérabilité dans Zimbra
Le 14 juin 2022, l’éditeur a publié deux avis concernant plusieurs vulnérabilités affectant leur produit, dont la vulnérabilité CVE-2022-30333 affectant le logiciel unRAR qui est utilisé par Zimbra. Quelques jours plus tard, l’éditeur modifiait ses avis et déconseillait d’installer la mise à jour à cause de dysfonctionnements potentiels. Depuis, Zimbra a indiqué que les problèmes avaient été résolus et que l’installation de la mise à jour était à nouveau recommandée.
La vulnérabilité CVE-2022-30333 permet à un attaquant non authentifié de déposer des fichiers arbitraires sur la machine, dont une porte dérobée.
Cette vulnérabilité affecte le logiciel unRAR de l’éditeur RARLAB. Zimbra peut être configuré pour utiliser unRAR dans le cadre des contrôles antivirus et antispam pour analyser les pièces jointes des mails reçus par le serveur. Si un attaquant envoie un courriel contenant une archive piégée à une instance de Zimbra utilisant une version vulnérable de unRAR, le simple fait de recevoir celui-ci suffira à déclencher la vulnérabilité. Par conséquent, cette vulnérabilité permet à l’attaquant d’accéder au serveur de messagerie sans aucune action de la part d’un utilisateur, pour, par exemple, consulter l’ensemble des courriels de tous les utilisateurs ou compromettre le fonctionnement du serveur.
Cette vulnérabilité semble triviale à exploiter et pourrait être combinée avec une autre vulnérabilité de type élévation de privilèges pour prendre le contrôle total de la machine.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-551/
- https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P25
- https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P32
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 27 juin au 03 juillet 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-580 : Multiples vulnérabilités dans IBM Db2
- CERTFR-2022-AVI-581 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2022-AVI-582 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2022-AVI-583 : Multiples vulnérabilités dans Synology Router Manager (SRM)
- CERTFR-2022-AVI-584 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-585 : Vulnérabilité dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-586 : Multiples vulnérabilités dans Google ChromeOS
- CERTFR-2022-AVI-587 : Multiples vulnérabilités dans les produits Foxit
- CERTFR-2022-AVI-588 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2022-AVI-589 : Vulnérabilité dans le noyau Linux de SUSE
- CERTFR-2022-AVI-590 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2022-AVI-591 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2022-AVI-592 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-593 : Vulnérabilité dans Mozilla Firefox
- CERTFR-2022-AVI-594 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-AVI-595 : Vulnérabilité dans les produits Check Point
- CERTFR-2022-AVI-596 : Multiples vulnérabilités dans Tenable.sc
- CERTFR-2022-AVI-597 : Multiples vulnérabilités dans IBM Spectrum Protect Plus
- CERTFR-2022-AVI-598 : Multiples vulnérabilités dans les produits GitLab
- CERTFR-2022-AVI-599 : Multiples vulnérabilités dans ElasticSearch et Kibana
- CERTFR-2022-AVI-600 : Vulnérabilité dans Microsoft Edge
- CERTFR-2022-AVI-601 : [SCADA] Multiples vulnérabilités dans Belden ProSoft RadioLinx RLX2
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-AVI-551 : Multiples vulnérabilités dans Zimbra
- CERTFR-2022-AVI-575 : Vulnérabilité dans OpenSSL c_rehash