Skip to main content
BlogSécuritéDigest de sécurité Linode 24 juillet-30 juillet 2023

Digest de sécurité Linode du 24 juillet au 30 juillet 2023

Digest de sécurité Linode

Dans le digest de cette semaine, nous aborderons les points suivants :

  • Atlassian Confluence Data Center & Server - Exécution de code à distance
  • Adobe ColdFusion : exécution de code à distance
  • Exécution de code à distance par OpenSSH Forwarded ssh-agent
  • AMD "Zenbleed" 
CVE-2023-22505 & CVE-2023-22508 : Exécution de code à distance dans le centre de données et le serveur Atlassian Confluence

Contexte

Confluence, développé par la société australienne de logiciels Atlassian, est un wiki d'entreprise basé sur le web et conçu pour la collaboration et le partage des connaissances au sein des entreprises. Initialement lancé en 2004 et construit en Java, Confluence a évolué pour devenir une plateforme polyvalente qui facilite le travail d'équipe et les processus de documentation. Avec son serveur web Tomcat intégré et sa base de données HSQL, Confluence Standalone offre une solution autonome tout en s'adaptant à d'autres bases de données. Atlassian propose Confluence en tant que logiciel d'entreprise, permettant aux organisations de choisir entre un déploiement sur site ou un logiciel en tant que service.

Vulnérabilité

Deux vulnérabilités d'exécution de code à distance (RCE) de haute sévérité ont été identifiées dans Confluence Data Center & Server.

La première vulnérabilité, connue sous le nom de CVE-2023-22505, a été introduite dans la version 8.0.0. Elle détient un score CVSS de 8, selon l'évaluation de Confluence, permettant à un attaquant authentifié d'exécuter du code arbitraire. Cette vulnérabilité présente un risque élevé pour la confidentialité, l'intégrité et la disponibilité, ce qui en fait un problème critique. De plus, l'attaquant peut exploiter cette faille sans nécessiter d'interaction de la part de l'utilisateur.

La seconde vulnérabilité, étiquetée CVE-2023-22508, a été introduite dans la version 6.1.0. Avec un score CVSS de 8.5 selon l'évaluation de Confluence, elle partage des caractéristiques similaires à la précédente. Un attaquant authentifié peut exécuter du code arbitraire sans interaction avec l'utilisateur, avec un impact élevé sur la confidentialité, l'intégrité et la disponibilité.

Atténuation

CVE-2023-22505 :

  • Mettez à jour votre instance vers la dernière version de Confluence Data Center & Server.
  • Si vous ne pouvez pas passer à la dernière version, passez à l'une des versions corrigées, à savoir 8.3.2 ou 8.4.0.

CVE-2023-22508 :

  • Mettre à jour votre instance vers une version de Confluence égale ou supérieure à 8.2.0 (par exemple, 8.2, 8.2, 8.4, etc.).
  • Alternativement, mettez à jour vers une version de Confluence 7.19 LTS avec correction de bogues égale ou supérieure à 7.19.8 (par exemple, 7.19.8, 7.19.9, 7.19.10, 7.19.11, etc.) ou vers une version de Confluence 7.13 LTS avec correction de bogues égale ou supérieure à 7.13.20 (version disponible début août).
CVE-2023-38205 : Contournement du contrôle d'accès d'Adobe ColdFusion

Contexte

Adobe ColdFusion est une plate-forme polyvalente de développement d'applications web basée sur Java. Elle permet aux développeurs de créer des applications web dynamiques et axées sur les données en intégrant de manière transparente la logique côté serveur et les interactions avec les bases de données dans les pages web à l'aide du langage de balisage ColdFusion (CFML) mélangé au HTML. 

Vulnérabilité

Cette vulnérabilité, répertoriée sous le nom de CVE-2023-38205, est un contournement de correctif pour la correction d'une vulnérabilité précédemment corrigée, CVE-2023-29298, abordée dans le bulletin de sécurité d'Adobe. Le correctif initial publié le 11 juillet 2023 pour CVE-2023-29298 n'a pas réussi à résoudre le problème et a pu être contourné par un attaquant. Selon Rapid7, le correctif pour la vulnérabilité était correct en adressant une URL valide mais pouvait toujours être contourné en fournissant une URL invalide qui contournerait toujours le correctif et permettrait toujours l'accès au point de terminaison attendu sans un chemin d'URL valide.

Les versions suivantes de ColdFusion sont vulnérables :

  • Adobe ColdFusion 2023 Update 2 et versions antérieures
  • Adobe ColdFusion 2021 Update 8 et versions antérieures
  • Adobe ColdFusion 2018 Update 18 et versions antérieures

Atténuation

Adobe a publié un correctif pour atténuer cette vulnérabilité le 19 juillet 2023, dans cet avis. Les correctifs sont les suivants :

  • Mise à jour 3 pour ColdFusion 2023
  • Mise à jour 9 pour ColdFusion 2021
  • Mise à jour 19 pour ColdFusion 2018
CVE-2023-38408 : Exécution de code à distance dans l'agent ssh transféré d'OpenSSH

Contexte

Le ssh-agent transféré d'OpenSSH est une fonctionnalité qui permet aux utilisateurs de transférer en toute sécurité leur ssh-agent d'une machine à l'autre pendant les connexions SSH. Le ssh-agent gère les clés privées pour l'authentification par clé publique SSH. Grâce au transfert d'agent, le ssh-agent local de l'utilisateur peut être utilisé pour authentifier les connexions à des machines distantes, ce qui évite de devoir stocker des clés privées sur ces systèmes.

Vulnérabilité

Selon l'avis publié par les chercheurs de Qualys, toute personne qui se connecte à un hôte contrôlé par l'attaquant en utilisant la redirection ssh-agent peut potentiellement s'exposer à l'exécution de code à distance par l'attaquant sur la machine (hôte de base) à partir de laquelle elle s'est connectée à l'hôte contrôlé par l'attaquant.

La vulnérabilité provient de la gestion par l'agent OpenSSH des bibliothèques partagées transférées sur l'hôte distant. Lorsque l'agent ssh d'un hôte de base est compilé avec le drapeau ENABLE_PKCS11 - ce qui est le cas par défaut - l'hôte distant peut charger (dlopen()) et immédiatement décharger (dlclose()) n'importe quelle bibliothèque partagée dans /usr/lib/* de l'hôte de base. Cependant, ce comportement ne convient pas à de nombreuses bibliothèques partagées, qui peuvent avoir des effets secondaires non désirés. En enchaînant de tels effets de bord, les chercheurs ont pu obtenir l'exécution de code à distance sur l'hôte de base. Cependant, les chercheurs ont limité leur champ d'action à Ubuntu Desktop 22.04 et 21.10.

Atténuation

  • Utilisation d'une version mise à jour de la bibliothèque OpenSSH : 9.3p2
  • L'exploitation de la vulnérabilité peut être évitée en n'utilisant pas l'option de redirection ssh-agent pour se connecter aux hôtes auxquels l'utilisateur ne fait pas confiance.
CVE-2023-20593 : Fuite d'information inter-processus alias "Zenbleed"

Le 24 juillet 2023, AMD a révélé une vulnérabilité de sécurité (CVE-2023-20593) qui affectait un sous-ensemble d'hôtes de cloud computing d'Akamai utilisant des processeurs EPYC "Rome". Pour plus d'informations , consultez notre récent article de blog sur Zenbleed

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.