Cette semaine, nous aborderons les vulnérabilités critiques de plusieurs produits et services.
Exécution de code à distance dans Apache Cassandra
Apache Cassandra est une base de données NoSQL hautement évolutive et distribuée qui est extrêmement populaire en raison des avantages de sa nature distribuée. Certaines entreprises proposent même des solutions clés en main basées sur le cloud et reposant sur Cassandra. Consultez l'offre DBaaS de Linode.
Lorsque vous utilisez Apache Cassandra avec la configuration suivante :
enable_user_defined_functions : true
enable_scripted_user_defined_functions : true
enable_user_defined_functions_threads : false
Un attaquant peut exécuter un code arbitraire sur l'hôte si l'acteur malveillant dispose de suffisamment d'autorisations pour créer des fonctions définies par l'utilisateur dans le cluster.
Cause première - Cassandra offre la possibilité de créer des fonctions définies par l'utilisateur (UDF) pour effectuer un traitement personnalisé des données dans la base de données. Par défaut, les UDF peuvent être écrites en Java et en JavaScript. En JavaScript, il utilise le moteur Nashorn dans l'environnement d'exécution Java (JRE), qui est un moteur JavaScript s'exécutant au-dessus de la machine virtuelle Java (JVM). La sécurité de Nashorn n'est pas garantie lorsqu'il accepte du code non fiable. Consultez le blog de JFrog pour voir comment Nashorn peut être utilisé pour exécuter du code non sécurisé.
Les utilisateurs de Cassandra peuvent utiliser les mesures d'atténuation suivantes contre CVE-2021-44521 :
Mettre `enable_user_defined_functions_threads: true`(c'est la valeur par défaut) OR
Les utilisateurs de la version 3.0 doivent passer à la version 3.0.26
Les utilisateurs de la version 3.11 doivent passer à la version 3.11.12
Les utilisateurs de la version 4.0 doivent passer à la version 4.0.2
Faille potentielle d'exécution de code à distance dans Redis
Redis est une structure de stockage de données en mémoire open source qui peut être utilisée comme base de données, cache et courtier de messages. Redis vous permet d'exécuter des scripts Lua pour de meilleures performances et permet l'exécution atomique de toutes les étapes d'un script. Aucune autre commande Redis ne peut être exécutée pendant l'exécution d'un script.
CVE-2022-0543 a été découvert dans Redis, en raison d'un problème d'emballage, qui est sujet à une évasion de sandbox Lua (Debian-specific), conduisant potentiellement à une vulnérabilité d'exécution de code à distance.
Cause première - La vulnérabilité existe parce que la bibliothèque Lua de Debian est fournie en tant que bibliothèque dynamique. Une variable "package" est automatiquement remplie, ce qui permet d'accéder à des fonctionnalités Lua arbitraires. Par exemple, comme cette fonctionnalité s'étend à la fonction "execute" du module "os", un attaquant ayant la capacité d'exécuter du code Lua arbitraire pourrait potentiellement exécuter des commandes shell arbitraires.
Il est recommandé de mettre à jour votre paquetage Redis sur Debian conformément à l'avis de l'éditeur.
Escalade de privilèges locaux dans snap-confine
Snap est un système d'empaquetage et de déploiement de logiciels développé par Canonical pour les systèmes d'exploitation utilisant le noyau Linux. Les paquets sont appelés snaps, et l'outil permettant d'utiliser les snaps est snapd. Snap fonctionne sur un grand nombre de distributions Linux et permet aux développeurs de logiciels en amont de distribuer leurs applications directement aux utilisateurs. Les snaps sont des applications autonomes qui s'exécutent dans un bac à sable avec un accès médiatisé au système hôte.
Snap-confine est un programme utilisé en interne par snapd pour construire l'environnement d'exécution des applications snap.
CVE-2021-44730 et CVE-2021-44731, deux bogues locaux d'élévation de privilèges, ont été découverts dans snap-confine. La première est une attaque par lien dur qui n'est exploitable que dans une configuration autre que celle par défaut, lorsque le paramètre fs.protected_hardlinks du noyau est fixé à 0. La seconde est causée par une condition de course qui est exploitable dans les installations par défaut de Ubuntu Desktop, et dans les installations proches des valeurs par défaut de Ubuntu Server. L'exploitation réussie de ces vulnérabilités permet à n'importe quel utilisateur non privilégié d'obtenir les privilèges de l'administrateur sur l'hôte vulnérable.
Les deux failles sont corrigées par la mise à jour de snap-confine vers la version 2.54.3. Ubuntu indique également "En général, une mise à jour standard du système effectuera tous les changements nécessaires" sur sa page d'avis.
Bogues critiques dans Adobe Commerce, Magento, Chrome et Firefox
CVE-2022-24086 est une faille de validation d'entrée incorrecte dans Adobe Commerce et Magento Open Source, qui a reçu un score CVSS de 9.8. Cette vulnérabilité pourrait permettre à un attaquant distant d'exécuter un code arbitraire sur un système affecté sans aucune information d'identification, ce qui pourrait permettre des attaques par écrémage numérique sur les sites de commerce électronique qui utilisent le logiciel CMS. Bien qu'il semble que les attaques dans la nature soient très limitées, le fait qu'Adobe ait publié un correctif hors bande le 13 février 2022 en fait une vulnérabilité à haut risque.
CVE-2022-0609, est une vulnérabilité de type "use-after-free" dans le composant Animation de Chrome. Elle pourrait permettre à un attaquant distant d'exécuter un code arbitraire sur une machine en créant une page web spécialement conçue et en hameçonnant les utilisateurs pour qu'ils visitent cette page. Google a connaissance de rapports indiquant qu'un exploit pour CVE-2022-0609 existe dans la nature, et Google recommande aux utilisateurs de mettre à jour vers la version 98.0.4758.102 pour corriger cette vulnérabilité.
CVE-2021-38503 is an Improper authorization flaw in Firefox. The root cause of this vulnerability is incorrect implementation of iframe sandbox rules for XSLT stylesheets, allowing an iframe to bypass restrictions such as executing scripts or navigating the top-level frame. This vulnerability affects Firefox < 94, Thunderbird < 91.3, and Firefox ESR < 91.3.
Téléchargement arbitraire d'une sauvegarde dans le plugin WordPress UpdraftPlus
UpdraftPlus est un plugin de sauvegarde populaire pour les sites WordPress et vous permet de télécharger vos sauvegardes. L'une des caractéristiques de ce plugin était la possibilité d'envoyer les liens de téléchargement des sauvegardes à une adresse électronique choisie par le propriétaire du site. Malheureusement, cette fonctionnalité n'était pas sécurisée, ce qui permettait à des utilisateurs authentifiés de bas niveau, comme les abonnés, de créer un lien valide leur permettant de télécharger des fichiers de sauvegarde.
Le plugin WordPress UpdraftPlus Free avant 1.22.3 et Premium avant 2.22.3 ne valide pas correctement qu'un utilisateur a les privilèges requis pour accéder à l'identifiant nonce d'une sauvegarde, ce qui peut permettre à n'importe quel utilisateur ayant un compte sur le site (comme un abonné) de télécharger la dernière sauvegarde du site et de la base de données.
Cause première - L'attaque commence par la fonction heartbeat de WordPress. L'attaquant doit envoyer une requête spécialement conçue contenant un paramètre data[updraftplus][updraft_credentialtest_nonce] pendant qu'une sauvegarde est en cours. S'il est capable de chronométrer cette requête à n'importe quel moment pendant qu'une sauvegarde est en cours, la réponse renverra le nonce de sauvegarde nécessaire pour télécharger cette sauvegarde particulière.
Cette vulnérabilité a été corrigée dans la version 1.22.3 d'UpdraftPlus.
Commentaires