Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 51
Tableau récapitulatif :
Vulnérabilités critiques du 17/12/22 au 23/12/22
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Tenable | Nessus Network Monitor versions antérieures à 6.2.0 | CVE-2022-24785 | 9.8 | Exécution de code arbitraire à distance | 19/12/2022 | Pas d’information | CERTFR-2022-AVI-1119 | https://www.tenable.com/security/tns-2022-28 |
| Tenable | Nessus Network Monitor versions antérieures à 6.2.0 | CVE-2021-23369 | 9.8 | Exécution de code arbitraire à distance | 19/12/2022 | Pas d’information | CERTFR-2022-AVI-1119 | https://www.tenable.com/security/tns-2022-28 |
Autres Vulnérabilités
Multiples vulnérabilités dans le module ksmdb du noyau Linux
le 22 décembre 2022, plusieurs vulnérabilités affectant le module noyau expérimental ksmbd de Linux ont été révélées ([1] à [5]). Ces vulnérabilités permettent notamment à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance via des messages SMB spécialement conçus.
Ce module noyau implémente le protocole SMB3 et vise à apporter des optimisations de performance pour la gestion de ce protocole [6]. Moins complet que le produit Samba, il peut néanmoins le remplacer pour le partage de fichier.
La prise en charge de SMB3 requiert :
- un noyau Linux 5.4 ou supérieur car
ksmbdn’est pas compatible avec les versions antérieures ; - le module noyau
ksmbd, dont la présence peut être vérifiée localement via la commandelsmod; - le démon
ksmbd.mountddont la présence peut être vérifiée dans la liste des processus en cours d’exécution ; - ainsi que la présence d’un fichier de configuration dans le dossier
/etc/config/ksmbd/.
Par défaut, ksmbd n’est pas activé et n’a pas nécessairement fait l’objet d’une intégration par les distributions Linux. Ainsi, Red Hat confirme que le module ksmbd n’est pas présent dans ces produits [10]. Il conviendra de vérifier les annonces des autres éditeurs de distribution Linux.
Les vulnérabilités ont été corrigées en juillet 2022 dans les versions du noyau Linux suivantes : v6.1, v6.0, v5.19.2, v5.18.18, v5.15.61 ([7], [8]).
Il est fortement recommandé de ne pas utiliser le module ksmbd en production car il s’agit d’un module expérimental. Il est rappelé qu’il est par ailleurs fortement déconseillé d’exposer un partage SMB sur un réseau non sécurisé.
Liens :
- [1] https://www.zerodayinitiative.com/advisories/ZDI-22-1691/
- [2] https://www.zerodayinitiative.com/advisories/ZDI-22-1690/
- [3] https://www.zerodayinitiative.com/advisories/ZDI-22-1689/
- [4] https://www.zerodayinitiative.com/advisories/ZDI-22-1688/
- [5] https://www.zerodayinitiative.com/advisories/ZDI-22-1687/
- [6] https://docs.kernel.org/filesystems/cifs/ksmbd.html
- [7] https://mirrors.edge.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.18.18
- [8] https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.61
- [9] https://lists.suse.com/pipermail/sle-security-updates/2022-September/012039.html
- [10] https://access.redhat.com/solutions/6991749
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 19 au 25 décembre 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-1115 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-1116 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2022-AVI-1117 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2022-AVI-1118 : Multiples vulnérabilités dans Citrix Hypervisor
- CERTFR-2022-AVI-1119 : Multiples vulnérabilités dans Tenable Nessus Network Monitor
- CERTFR-2022-AVI-1120 : Vulnérabilité dans NetApp OnCommand Insight
- CERTFR-2022-AVI-1121 : Vulnérabilité dans Elastic Kibana
- CERTFR-2022-AVI-1122 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-1123 : Multiples vulnérabilités dans les produits SolarWinds
- CERTFR-2022-AVI-1124 : Vulnérabilité dans Thunderbird
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-ALE-012 : [MàJ] Vulnérabilité dans FortiOS SSL-VPN
