Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Certfr 2022 ale 010 PREMIER MINISTRE S G D S N Agence nationale de la sécurité des systèmes d'information Paris le octobre N CERTFR- -ALE- Affaire suivie par CERT-FR BULLETIN D'ALERTE DU CERT-FR Objet Multiples vulnérabilités dans GLPI Gestion du document

PREMIER MINISTRE S G D S N Agence nationale de la sécurité des systèmes d'information Paris le octobre N CERTFR- -ALE- Affaire suivie par CERT-FR BULLETIN D'ALERTE DU CERT-FR Objet Multiples vulnérabilités dans GLPI Gestion du document Référence CERTFR- -ALE- Titre Multiples vulnérabilités dans GLPI Date de la première version octobre Date de la dernière version octobre Source s Bulletin de sécurité GLPI du septembre Pièce s jointe s Aucune s Tableau ?Gestion du document Une gestion de version détaillée se trouve à la fin de ce document Risque s Exécution de code arbitraire à distance Contournement de la politique de sécurité Systèmes affectés GLPI versions x antérieures à GLPI versions x versions antérieures à Résumé Secrétariat général de la défense et de la sécurité nationale ?? ANSSI ?? CERT-FR bd de La Tour-Maubourg Tél Web https www cert ssi gouv fr Paris SP Fax Mél cert-fr cossi ssi gouv fr Le septembre l'éditeur de GLPI Gestionnaire Libre de Parc Informatique a déclaré plusieurs vulnérabilités sur le produit dont deux critiques Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité La vulnérabilité référencée par l'identifiant CVE- - affecte bibliothèque tierce - htmLawed - qui est embarquée par GLPI Elle est due à la présence d ? un fichier de test htmLawedTest php et permet à un attaquant non authentifié d ? exécuter du code arbitraire à distance La seconde vulnérabilité immatriculée CVE- - permet à un attaquant de réaliser une injection SQL afin d'obtenir une connexion avec n ? importe quel utilisateur ayant au préalable défini une clé API Le CERT-FR a publié un bulletin d'actualité le septembre afin de signaler l'existence de ces vulnérabilités Le CERT-FR a connaissance de nombreux incidents liés à l'exploitation de la vulnérabilité immatriculée CVE- - DÉTECTION Il est recommandé d'effectuer une vérification des journaux à la recherche de tentatives d'accès aux ressources suivantes vendor htmlawed htmlawed htmLawedTest php vendor htmlawed htmlawed php vendor Par ailleurs des requêtes vers les ressources suivantes peuvent être en lien avec l ? attaque et doivent donc faire l'objet d'une attention particulière redistest php css Arui php css legacy Arui php css legacy Arui php Si ces requêtes sont observées il sera alors nécessaire d'effectuer une vérification supplémentaire à la recherche de fichiers malveillants éventuellement déposés par un attaquant pour lui permettre de maintenir un accès au système compromis Le CERT-FR tient à rappeler plusieurs points importants Les produits tels que GLPI ne devraient pas être exposés sur Internet En cas d'obligation d'accès depuis l'extérieur des mesures de sécurité doivent être mises en ?uvre Dans tous les cas le dossier vendor qui contient les bibliothèques tierces ne devrait pas être publiquement accessible depuis Internet Un tel dossier doit être déplacé en dehors de la racine du serveur Web de façon à prévenir tout accès par adressage direct aux fichiers présents dans ce dossier Il n'existe aucune raison légitime qui justifierait qu'un visiteur puisse avoir accès à