Dans le résumé de cette semaine, nous discuterons :
- une vulnérabilité XSS dans le téléchargement par glisser-déposer de phpMyAdmin ;
- un débordement de mémoire tampon dans la bibliothèque d'analyse ClamAV ; et
- un bogue de contrebande de contenu HTTP dans HAProxy.
Vulnérabilité XSS dans le téléchargement par glisser-déposer de phpMyAdmin
Un utilisateur anonyme a découvert une vulnérabilité de type Cross-Site Scripting (XSS) dans la fonctionnalité de téléchargement de phpMyAdmin. Cette vulnérabilité permet à un utilisateur authentifié de déclencher un XSS en téléchargeant un fichier .sql malicieusement conçu dans l'interface drag-and-drop de phpMyAdmin.
La vulnérabilité XSS du téléchargement par glisser-déposer affecte les utilisateurs de phpMyAdmin qui ont installé des versions antérieures à 4.9.11 et 5.x avant 5.2.1. phpMyAdmin a publié les versions 4.9.11 et 5.2.1 pour remédier à cette vulnérabilité. Cependant, comme facteur d'atténuation, les utilisateurs peuvent désactiver la directive de configuration $cfg['enable_drag_drop_import'], qui désactive la fonctionnalité de glisser-déposer et protège les utilisateurs contre la vulnérabilité.
La vulnérabilité XSS de téléchargement par glisser-déposer, enregistrée sous le nom de CVE-2023-25727, a éténotée 5.4 moyen dans la notation CVSS par le NIST en raison du faible impact sur la confidentialité et l'intégrité. Une attaque réussie peut permettre une escalade des privilèges en contournant les contrôles de permission des informations d'identification du noyau.
ClamAV HFS+ : vulnérabilité de débordement de mémoire tampon lors de l'analyse des partitions
Le 15 février 2023, une vulnérabilité dans la bibliothèque d'analyse ClamAV a été divulguée. L'analyseur de fichiers de partition HFS+ des versions 1.0.0 et antérieures, 0.105.1 et antérieures, et 0.103.7 et antérieures de ClamAV présente une vulnérabilité de sécurité qui pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur un système cible.
La vulnérabilité provient d'une vérification manquante de la taille de la mémoire tampon dans l'analyseur de fichiers de partition HFS+, ce qui pourrait entraîner un débordement de la mémoire tampon du tas. Lorsqu'un utilisateur soumet un fichier de partition HFS+ spécialement conçu pour être analysé par ClamAV sur un appareil affecté, le moteur peut tenter de lire et de traiter le fichier, ce qui déclenche la vulnérabilité. Un attaquant peut tirer parti de cette vulnérabilité en envoyant un fichier de partition HFS+ spécialement conçu à un système vulnérable.
Une fois le fichier analysé par ClamAV, le moteur tente de le traiter, ce qui peut entraîner l'exécution d'un code arbitraire par l'attaquant. Ce dernier peut alors obtenir un accès non autorisé au système, voler des données sensibles ou installer des logiciels malveillants. En outre, l'attaquant peut également provoquer le blocage du processus d'analyse de ClamAV, ce qui entraîne un déni de service, susceptible de perturber le fonctionnement normal du système cible.
Le logiciel ClamAV a publié les versions 0.103.8, 0.105.2 et 1.0.1 de ClamAV, qui devraient inclure des correctifs pour cette vulnérabilité.
La vulnérabilité a été enregistrée sous le nom de CVE-2023-20032 et a été classée 9.8 critique dans la notation CVSS par Cisco en raison de l'impact élevé sur la confidentialité, l'intégrité et la disponibilité.
Bogue de contrebande de contenu HTTP dans HAProxy
Une équipe de recherche en sécurité de Northeastern, Akamai Technologies et Google a découvert un bogue dans le traitement des en-têtes de HAProxy ; lorsqu'il est exploité, ce bogue peut permettre une attaque par contrebande de contenu HTTP. C'est Willy Tarreau, responsable de HAProxy, qui a signalé cette vulnérabilité. HAProxy est un outil open source d'équilibrage de charge et de proxy inverse pour les applications HTTP et TCP.
La vulnérabilité a été découverte dans le traitement des en-têtes de HAProxy. Elle est exploitée par une requête HTTP malveillante qui peut déclencher l'abandon de champs d'en-tête importants après l'analyse. Cela pourrait créer des requêtes supplémentaires vers le serveur et permettre aux requêtes suivantes de contourner les filtres de HAProxy, donnant à un attaquant l'accès à un contenu restreint, la possibilité de contourner l'authentification URL, ou d'autres objectifs malveillants.
Tarreau a confirmé que presque toutes les versions de HAProxy étaient affectées par la vulnérabilité, y compris les versions HTX-aware 2.0 et supérieures et les versions non-HTX 1.9 et antérieures ou la version 2.0 en mode legacy.
Après avoir confirmé la vulnérabilité, Tarreau a publié un correctif pour toutes les versions de HAProxy, y compris 2.8-dev4, 2.7.3, 2.6.9, 2.5.12, 2.4.12, 2.2.29 et 2.0.31. Tarreau recommande aux utilisateurs de HAProxy d'effectuer une mise à jour vers la version corrigée de la branche concernée afin de rester protégés. Si une mise à jour immédiate n'est pas possible, Tarreau a partagé une solution de contournement qui rejette les requêtes tentant de déclencher le bogue avec une erreur 403. Toutefois, cette solution de contournement ne garantit pas une atténuation totale ; par conséquent, il est recommandé de mettre à jour vers une version corrigée.
Cette vulnérabilité a été enregistrée sous le nom de CVE-2023-25725 et a été classée 9.1 critique dans la notation CVSS par le NIST en raison de l'impact élevé sur l'intégrité et la disponibilité.
Commentaires