Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 26

Tableau récapitulatif :

Vulnérabilités critiques du 27/06/22 au 03/07/22

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
IBM Spectrum Protect Plus 9.8 Exécution de code arbitraire 29/06/2022 Pas d’information CERTFR-2022-AVI-597 https://www.ibm.com/support/pages/node/6596973
IBM Db2® sur Openshift, Db2® et Db2 Warehouse® sur Cloud Pak CVE-2018-1002105  9.8 Exécution de code arbitraire 28/06/2022 Pas d’information CERTFR-2022-AVI-591 https://www.ibm.com/support/pages/node/6599703/
Synology Router Manager (SRM) CVE-2022-34484 Injection SQL 23/06/2022 Pas d’information CERTFR-2022-AVI-583 https://www.synology.com/fr-fr/security/advisory/Synology_SA_22_09
GitLab Community Edition (CE) et Enterprise Edition (EE) CVE-2022-2185 9.9 Exécution de code arbitraire à distance 30/06/2022 Pas d’information CERTFR-2022-AVI-598 https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/#remote-command-execution-via-project-imports

 

Autres vulnérabilités

CVE-2022-30333 : Vulnérabilité dans Zimbra

Le 14 juin 2022, l’éditeur a publié deux avis concernant plusieurs vulnérabilités affectant leur produit, dont la vulnérabilité CVE-2022-30333 affectant le logiciel unRAR qui est utilisé par Zimbra. Quelques jours plus tard, l’éditeur modifiait ses avis et déconseillait d’installer la mise à jour à cause de dysfonctionnements potentiels. Depuis, Zimbra a indiqué que les problèmes avaient été résolus et que l’installation de la mise à jour était à nouveau recommandée.

La vulnérabilité CVE-2022-30333 permet à un attaquant non authentifié de déposer des fichiers arbitraires sur la machine, dont une porte dérobée.
Cette vulnérabilité affecte le logiciel unRAR de l’éditeur RARLAB. Zimbra peut être configuré pour utiliser unRAR dans le cadre des contrôles antivirus et antispam pour analyser les pièces jointes des mails reçus par le serveur. Si un attaquant envoie un courriel contenant une archive piégée à une instance de Zimbra utilisant une version vulnérable de unRAR, le simple fait de recevoir celui-ci suffira à déclencher la vulnérabilité. Par conséquent, cette vulnérabilité permet à l’attaquant d’accéder au serveur de messagerie sans aucune action de la part d’un utilisateur, pour, par exemple, consulter l’ensemble des courriels de tous les utilisateurs ou compromettre le fonctionnement du serveur.

Cette vulnérabilité semble triviale à exploiter et pourrait être combinée avec une autre vulnérabilité de type élévation de privilèges pour prendre le contrôle total de la machine.

Liens :


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 27 juin au 03 juillet 2022, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :