Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 41
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Oracle | Oracle GraalVM Enterprise Edition, | CVE-2022-32215 | 9.1 | Atteinte à l'intégrité et à la confidentialité des données | 18/10/2022 | Pas d'information | CERTFR-2022-AVI-930 | https://www.oracle.com/security-alerts/cpuoct2022.html#AppendixJAVA |
Apache | Apache Commons Text | CVE-2022-42889 | 9.8 | Exécution de code arbitraire à distance | 18/10/2022 | Code d'exploitation publiquement disponible | https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om |
CVE-2022-42889 : Vulnérabilité dans Apache Commons Text
Le 13 octobre 2022, une vulnérabilité critique affectant la bibliothèque Apache Commons Text a été déclarée. Cette bibliothèque permet d'effectuer diverses actions avec des chaînes de caractère, dont des interpolations. Le format standard pour une interpolation est :${prefix:name}
(le préfix étant l'instance org.apache.commons.text.lookup.StringLookup qui réalisera l'interpolation). Cependant, les bibliothèques Apache Commons Text des versions 1.5 à 1.9 disposent d'une implémentation de l'interpolation non sécurisée. Un attaquant peut forger une chaine de caractère comme définie dans la classe StringLookupFactory [1] afin de faire effectuer des actions illégitimes à la machine lors de son interpolation, par le biais d'un préfixe : "script", "dns" ou "url". Ainsi, le détournement du préfixe "script" permet à un attaquant d'exécuter des commandes sur la machine en utilisant le moteur d'exécution de scripts de la JVM. Le préfix "dns" permet à un attaquant de faire résoudre à la machine des requêtes DNS. Et enfin, le préfixe "url" permet à un attaquant charger des valeurs à partir d'urls, y compris à partir de serveurs distants. La vulnérabilité est exploitable uniquement si un objet interpolateur StringSubstituor a été créé par la méthode StringSubstitutor.createInterpolator() et que cet interpolateur est ensuite exécuté par des méthodes telles que : StringSubstitutor.replace() ou StringSubstitutor.replaceIn().
Des codes d'exploitation sont publiquement disponibles pour cette vulnérabilité.
Liens :
- https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
- [1] https://commons.apache.org/proper/commons-text/apidocs/org/apache/commons/text/lookup/StringLookupFactory.html
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.