Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 26
Tableau récapitulatif :
Vulnérabilités critiques du 27/06/22 au 03/07/22
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
IBM | Spectrum Protect Plus | 9.8 | Exécution de code arbitraire | 29/06/2022 | Pas d'information | CERTFR-2022-AVI-597 | https://www.ibm.com/support/pages/node/6596973 | |
IBM | Db2® sur Openshift, Db2® et Db2 Warehouse® sur Cloud Pak | CVE-2018-1002105 | 9.8 | Exécution de code arbitraire | 28/06/2022 | Pas d'information | CERTFR-2022-AVI-591 | https://www.ibm.com/support/pages/node/6599703/ |
Synology | Router Manager (SRM) | CVE-2022-34484 | Injection SQL | 23/06/2022 | Pas d'information | CERTFR-2022-AVI-583 | https://www.synology.com/fr-fr/security/advisory/Synology_SA_22_09 | |
GitLab | Community Edition (CE) et Enterprise Edition (EE) | CVE-2022-2185 | 9.9 | Exécution de code arbitraire à distance | 30/06/2022 | Pas d'information | CERTFR-2022-AVI-598 | https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/#remote-command-execution-via-project-imports |
Autres vulnérabilités
CVE-2022-30333 : Vulnérabilité dans Zimbra
Le 14 juin 2022, l'éditeur a publié deux avis concernant plusieurs vulnérabilités affectant leur produit, dont la vulnérabilité CVE-2022-30333 affectant le logiciel unRAR qui est utilisé par Zimbra. Quelques jours plus tard, l’éditeur modifiait ses avis et déconseillait d’installer la mise à jour à cause de dysfonctionnements potentiels. Depuis, Zimbra a indiqué que les problèmes avaient été résolus et que l’installation de la mise à jour était à nouveau recommandée.La vulnérabilité CVE-2022-30333 permet à un attaquant non authentifié de déposer des fichiers arbitraires sur la machine, dont une porte dérobée. Cette vulnérabilité affecte le logiciel unRAR de l’éditeur RARLAB. Zimbra peut être configuré pour utiliser unRAR dans le cadre des contrôles antivirus et antispam pour analyser les pièces jointes des mails reçus par le serveur. Si un attaquant envoie un courriel contenant une archive piégée à une instance de Zimbra utilisant une version vulnérable de unRAR, le simple fait de recevoir celui-ci suffira à déclencher la vulnérabilité. Par conséquent, cette vulnérabilité permet à l’attaquant d’accéder au serveur de messagerie sans aucune action de la part d’un utilisateur, pour, par exemple, consulter l’ensemble des courriels de tous les utilisateurs ou compromettre le fonctionnement du serveur.
Cette vulnérabilité semble triviale à exploiter et pourrait être combinée avec une autre vulnérabilité de type élévation de privilèges pour prendre le contrôle total de la machine.
Liens :
- /avis/CERTFR-2022-AVI-551/
- https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P25
- https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P32
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.