Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 41

Tableau récapitulatif :

Vulnérabilités critiques du 17/10/22 au 21/10/22
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Oracle Oracle GraalVM Enterprise Edition, CVE-2022-32215 9.1 Atteinte à l'intégrité et à la confidentialité des données 18/10/2022 Pas d'information CERTFR-2022-AVI-930 https://www.oracle.com/security-alerts/cpuoct2022.html#AppendixJAVA
Apache Apache Commons Text CVE-2022-42889 9.8 Exécution de code arbitraire à distance 18/10/2022 Code d'exploitation publiquement disponible https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om

CVE-2022-42889 : Vulnérabilité dans Apache Commons Text

Le 13 octobre 2022, une vulnérabilité critique affectant la bibliothèque Apache Commons Text a été déclarée. Cette bibliothèque permet d'effectuer diverses actions avec des chaînes de caractère, dont des interpolations. Le format standard pour une interpolation est : ${prefix:name} (le préfix étant l'instance org.apache.commons.text.lookup.StringLookup qui réalisera l'interpolation). Cependant, les bibliothèques Apache Commons Text des versions 1.5 à 1.9 disposent d'une implémentation de l'interpolation non sécurisée. Un attaquant peut forger une chaine de caractère comme définie dans la classe StringLookupFactory [1] afin de faire effectuer des actions illégitimes à la machine lors de son interpolation, par le biais d'un préfixe : "script", "dns" ou "url". Ainsi, le détournement du préfixe "script" permet à un attaquant d'exécuter des commandes sur la machine en utilisant le moteur d'exécution de scripts de la JVM. Le préfix "dns" permet à un attaquant de faire résoudre à la machine des requêtes DNS. Et enfin, le préfixe "url" permet à un attaquant charger des valeurs à partir d'urls, y compris à partir de serveurs distants. La vulnérabilité est exploitable uniquement si un objet interpolateur StringSubstituor a été créé par la méthode StringSubstitutor.createInterpolator() et que cet interpolateur est ensuite exécuté par des méthodes telles que : StringSubstitutor.replace() ou StringSubstitutor.replaceIn().

Des codes d'exploitation sont publiquement disponibles pour cette vulnérabilité.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 17 octobre 2022 au 23 octobre 2022, le CERT-FR a émis les publications suivantes :