Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Certfr 2022 ale 010 S G D S N Agence nationale de la sécurité des systèmes d'information A ?aire suivie par CERT-FR PREMIER MINISTRE Paris le octobre N CERTFR- -ALE- BULLETIN D'ALERTE DU CERT-FR Objet Multiples vulnérabilités dans GLPI Gestion du document

S G D S N Agence nationale de la sécurité des systèmes d'information A ?aire suivie par CERT-FR PREMIER MINISTRE Paris le octobre N CERTFR- -ALE- BULLETIN D'ALERTE DU CERT-FR Objet Multiples vulnérabilités dans GLPI Gestion du document Référence CERTFR- -ALE- Titre Multiples vulnérabilités dans GLPI Date de la première version octobre Date de la dernière version octobre Source s Bulletin de sécurité GLPI du septembre Pièce s jointe s Aucune s Tableau Gestion du document Une gestion de version détaillée se trouve à la ?n de ce document Risque s Exécution de code arbitraire à distance Contournement de la politique de sécurité Systèmes a ?ectés GLPI versions x antérieures à GLPI versions x versions antérieures à Résumé Secrétariat général de la défense et de la sécurité nationale ?? ANSSI ?? CERT- FR bd de La Tour-Maubourg Tél Web https www cert ssi gouv fr Paris SP Fax Mél cert-fr cossi ssi gouv fr CLe septembre l'éditeur de GLPI Gestionnaire Libre de Parc Informatique a déclaré plusieurs vulnérabilités sur le produit dont deux critiques Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité La vulnérabilité référencée par l'identi ?ant CVE- - a ?ecte bibliothèque tierce htmLawed - qui est embarquée par GLPI Elle est due à la présence d ? un ?chier de test htmLawedTest php et permet à un attaquant non authenti ?é d ? exécuter du code arbitraire à distance La seconde vulnérabilité immatriculée CVE- - permet à un attaquant de réaliser une injection SQL a ?n d'obtenir une connexion avec n ? importe quel utilisateur ayant au préalable dé ?ni une clé API Le CERT-FR a publié un bulletin d'actualité le septembre a ?n de signaler l'existence de ces vulnérabilités Le CERT-FR a connaissance de nombreux incidents liés à l'exploitation de la vulnérabilité immatriculée CVE- - DÉTECTION Il est recommandé d'e ?ectuer une véri ?cation des journaux à la recherche de tentatives d'accès aux ressources suivantes vendor htmlawed htmlawed htmLawedTest php vendor htmlawed htmlawed php vendor Par ailleurs des requêtes vers les ressources suivantes peuvent être en lien avec l ? attaque et doivent donc faire l'objet d'une attention particulière redistest php css Arui php css legacy Arui php css legacy Arui php Si ces requêtes sont observées il sera alors nécessaire d'e ?ectuer une véri ?cation supplémentaire à la recherche de ?chiers malveillants éventuellement déposés par un attaquant pour lui permettre de maintenir un accès au système compromis Le CERT-FR tient à rappeler plusieurs points importants Les produits tels que GLPI ne devraient pas être exposés sur Internet En cas d'obligation d'accès depuis l'extérieur des mesures de sécurité doivent être mises en ?uvre Dans tous les cas le dossier vendor qui contient les bibliothèques tierces ne devrait pas être publiquement accessible depuis Internet Un tel dossier doit être déplacé en dehors de la racine du serveur Web de façon à prévenir tout accès par adressage direct aux ?chiers présents dans ce dossier Il