icetray - Fotolia
Exim, ManageEngine Applications Manager, Samba : alerte aux vulnérabilités critiques
Plusieurs vulnérabilités critiques nécessitant l'application immédiate des correctifs ont été récemment découvertes, dans plusieurs composants logiciels, dont certains très largement déployés à travers le monde.
Les équipes du projet Samba viennent de proposer au téléchargement des mises à jour de sécurité pour les versions 4.5, 4.6 et 4.7 du service réseau. Celles-ci corrigent deux vulnérabilités dont une clairement critique : référencée CVE-2018-1057, elle est présente sur toutes les versions de Samba à partir de la version 4.0 et concerne la manière dont un serveur LDAP valide les permissions pour modifier les mots de passe ; faute d’une validation correcte, les utilisateurs authentifiés peuvent modifier les mots de passe de n’importe quels autres utilisateurs connus de l’annuaire, jusqu’aux comptes administrateur. Le seconde vulnérabilité corrigée, CVE-2018-1500, peut conduire à des dénis de service.
Un autre projet largement exploité est concerné par une grave vulnérabilité : Exim. Référencée CVE-2018-6789, elle s’appuie le moteur de décodage Base64 et permet de forcer l’exécution de code à distance sans authentification sur les serveurs exposant ce composant de serveur de messagerie électronique. L’exploitation de la vulnérabilité a déjà démontrée. La version 4.90.1 d’Exim comble la faille.
Les chercheurs à l’origine de la découverte de la vulnérabilité faisaient état « d’au moins 400 000 serveurs menacés ». Mais ce chiffre pourrait être considérablement sous-estimé. Selon Shodan, il faut compter avec près de 4,5 millions de serveurs Exim accessibles sur Internet. Parmi ceux-ci, le moteur de recherche spécialisé fait état de près de 963 000 serveurs en version 4.8x… De son côté, Onyphe ne compte que 330 000 serveurs Exim sur Internet. Mais tous apparaissaient vulnérables le 8 mars dernier.
Enfin, Mehmet Ince, associé d’Invictus, cabinet de conseil en sécurité informatique, a mis le doigt sur plusieurs vulnérabilités critiques de l’outil Applications Manage de ManageEngine : sans authentification, elles permettent l’injection SQL et l’exécution de code arbitraire à distance. Un module Metasploit et déjà disponible pour cette seconde vulnérabilité. Mais cela vaut aussi pour les correctifs.