Dans le résumé de cette semaine, nous discuterons :
- un communiqué de sécurité Grafana ;
- Débordement d'un nombre entier dans VLC ; et
- une vulnérabilité de la condition de course de Snapd.
Grafana Communiqué de sécurité
Escalade de privilèges : Accès non autorisé à des points d'extrémité arbitraires
CVE-2022-39328 est une condition de course dans la base de code Grafana , qui permet à un utilisateur non authentifié d'interroger un point de terminaison arbitraire dans Grafana. Une condition de course dans la création du contexte HTTP pourrait avoir pour conséquence qu'une requête HTTP se voit assigner les middlewares d'authentification/autorisation d'un autre appel. En cas de forte charge, il est possible qu'un appel protégé par un intergiciel privilégié reçoive à la place l'intergiciel d'une requête publique. Par conséquent, un utilisateur non authentifié peut interroger avec succès des points d'extrémité protégés avec des intentions malveillantes.
Toutes les installations pour Grafana versions >=9.2.x sont concernées. Pour résoudre complètement le problème CVE-2022-39328, Grafana recommande de mettre à jour vos instances.
Augmentation des privilèges : Les noms d'utilisateur et les adresses électroniques ne sont pas fiables
Grafana Les administrateurs peuvent inviter d'autres membres dans l'organisation dont ils sont administrateurs. Lorsque les administrateurs ajoutent des membres à l'organisation, les utilisateurs non existants reçoivent une invitation par courrier électronique, tandis que les membres existants sont ajoutés directement à l'organisation. Lorsqu'un lien d'invitation est envoyé, il permet à toute personne ayant accès à ce lien de s'inscrire avec le nom d'utilisateur ou l'adresse électronique de son choix et de devenir membre de l'organisation. Le score CVSS pour CVE-2022-39306 est 6.4 Modéré.
All installations for Grafana versions <=9.x, <8.x are impacted. To fully address CVE-2022-39306, Grafana recommends upgrading your instances.
Énumération des noms d'utilisateur
Lors de l'utilisation de la fonction d'oubli du mot de passe sur la page de connexion, une requête POST est envoyée à l'URL /api /user/password/sent-reset-email. Lorsque le nom d'utilisateur ou l'adresse électronique n'existe pas, une réponse JSON contient un message "user not found", qui peut être exploité par des utilisateurs non authentifiés pour divulguer des informations sur les points de terminaison concernés.
The CVSS score for CVE-2022-39307 is 5.3 Moderate. All installations for Grafana versions <=9.x, <8.x are impacted. To fully address this vulnerability, Grafana recommends upgrading your instances.
Débordement d'un nombre entier dans VLC
Le lecteur multimédia VLC (anciennement VideoLAN Client et communément appelé simplement VLC) est un logiciel de lecture multimédia portable et multiplateforme, libre et gratuit, ainsi qu'un serveur multimédia de diffusion en continu développé par le projet VideoLAN. CVE-2022-41325 réside dans le module VNC. VLC peut afficher un flux vidéo VNC en utilisant son URI : vlc vnc://ip_address_of_server:port/
Si un pirate contrôle un serveur VNC, il peut tromper VLC en lui allouant une mémoire tampon plus courte que prévu. L'attaquant dispose alors d'une puissante primitive "écrire ce qu'il veut". Il peut faire planter VLC ou exécuter du code arbitraire dans certaines conditions. Bien que la prise en charge de VNC soit assurée par une bibliothèque tierce (LibVNCClient), le code affecté se trouve dans VLC lui-même.
Les versions 3.0.17.4 et antérieures sont concernées. L'équipe de VLC a corrigé la vulnérabilité avec le commit ici.
Vulnérabilité de Snapd (Race Condition)
Le programme snap-confine est utilisé en interne par snapd pour construire l'environnement d'exécution des applications snap, qui sont des paquets logiciels conteneurisés. CVE-2022-3328 décrit une vulnérabilité de type race condition dans la fonction must_mkdir_and_open_with_perms() de snap-confine, qui est installé en tant que programme SUID-root par défaut sur Ubuntu. Cette vulnérabilité a été introduite dans le cadre de la correction de la CVE-2021-44731.
Un attaquant disposant des privilèges d'un utilisateur normal peut utiliser la vulnérabilité d'escalade des privilèges de Multipath(CVE-2022-41974) et la vulnérabilité de lien symbolique de Multipath, lier le répertoire /tmp à n'importe quel répertoire du système de fichiers, et promouvoir les permissions de l'utilisateur ordinaire à des permissions ROOT.
Les versions de snapd affectées sont 2.54.3 - 2.57.6. Actuellement, la version de sécurité officielle a été publiée pour corriger cette vulnérabilité. Il est recommandé aux utilisateurs concernés d'effectuer une mise à jour vers une version plus récente.
Commentaires