Cette semaine, nous parlerons d'une vulnérabilité critique dans les services de sécurité réseau de Mozilla, du dernier avis de sécurité de Netgear, d'une vulnérabilité dans l'éditeur de texte Vim et d'un outil relativement nouveau que vous pouvez utiliser pour auditer vos paquets Python .
RCE Mozilla NSS (CVE-2021-43527)
Mozilla's NSS(Network Security Services) est un ensemble de bibliothèques conçues pour soutenir le développement multiplateforme d'applications client et serveur sécurisées. Il fournit une implémentation open source complète de nombreuses normes de sécurité Internet et est utilisé dans plusieurs produits Mozilla.
Le 1er décembre, RedHat a publié un communiqué avertissant les utilisateurs de ce paquetage qu'il était vulnérable à une exécution de code à distance. Selon le communiqué, cette vulnérabilité a un impact critique (CVSS : 8.8) sur les systèmes affectés, et il n'existe actuellement aucune méthode pratique d'atténuation de cette vulnérabilité. RedHat recommande de mettre à jour les paquets concernés dès que possible.
Une surface de menace qui s'étend de la maison au bureau
Netgear a récemment publié un avis de sécurité indiquant qu'elle avait connaissance de deux failles de sécurité affectant plusieurs de ses produits, notamment des routeurs, des modems, des systèmes WiFi mesh et des extendeurs WiFi. L'une des vulnérabilités permet l'injection de commandes après l'authentification, ce qui entraîne la divulgation d'informations sensibles. Netgear recommande vivement à ses clients de mettre à jour le firmware des appareils concernés dès que possible.
De nombreux employés travaillant à distance et se connectant à l'infrastructure de leur employeur, il est crucial de s'assurer que les composants qui facilitent la communication entre les appareils des employés et les réseaux des entreprises sont fiables et sécurisés. La compromission d'un maillon faible de cette chaîne peut permettre aux attaquants de réduire à néant les efforts déployés par les entreprises pour sécuriser leurs systèmes. Les attaquants pourraient exploiter les vulnérabilités des équipements de réseau appartenant aux employés et, en fin de compte, provoquer des interruptions de service, des pertes de données, voire des atteintes à la sécurité.
Débordement de mémoire tampon de l'éditeur Vim (CVE-2021-4019)
Comme le décrit la mise à jour de Fedora, Vim (VIsual editor iMproved) est une version mise à jour et améliorée de l'éditeur Vi. Vim est un outil fréquemment utilisé, et il est fourni avec la plupart des distributions Linux. Les versions de Vim antérieures à 8.2.3669 ont été récemment découvertes comme étant sensibles à un débordement de mémoire tampon. Lorsqu'elle est exploitée, cette vulnérabilité peut entraîner un plantage du logiciel, une modification de la mémoire ou l'exécution de code arbitraire.
Audit de la tuyauterie
Pip (pip installs packages) est l'installateur de paquets pour le langage de programmation Python . Vous pouvez utiliser pip pour installer des paquets à partir de Python Package Index (PyPI) et d'autres index. D'autre part, Pip-audit est un outil récemment développé pour analyser les environnements Python à la recherche de paquets présentant des vulnérabilités connues. Nous pensons que pip-audit est un excellent outil que nos clients peuvent utiliser pour garder une trace des paquets utilisés dans leurs environnements de développement et vérifier continuellement les vulnérabilités de ces paquets au fur et à mesure qu'elles sont découvertes.
Nous nous réjouissons toujours de partager nos connaissances avec nos clients et les amoureux de Linux. N'hésitez pas à laisser un commentaire ci-dessous si vous avez des suggestions, des commentaires ou des connaissances à partager avec la communauté.
Commentaires