CERT

141 BULLETIN DE SÉCURITÉ SUSE DU 18 JUIN 2021 Mise à jour de sécurité pour le noyau Linux (Live Patch 7) Une mise à jour qui résout deux vulnérabilités et comporte un errata est désormais disponible. Les problèmes suivants concernent les vulnérabilités CVE-2021-33034 et CVE-2021-32399. (Sources) CVE-2021-33034 : Correction d’un use-after-free lors de la destruction d’un hci_chan. Cela pourrait conduire à l’écriture de valeurs arbitraires (bsc#1186111). CVE-2021-32399 : Correction d’une condition de concurrence lors de la suppression du contrôleur HCI (bnc#1184611). Correction d’une perte de données/corruption de données qui se produit s’il y a une erreur d’écriture sur un tableau md/raid (bsc#1185680). Multiples vulnérabilités dans le noyau Linux de SUSE De multiples vulnérabilités ont été découvertes dans le noyau Linux de

105 BULLETIN DE SÉCURITÉ SONICWALL DU 14 JUIN 2021 Vunérabilité SonicOS impliquant une neutralisation incorrecte de l’en-tête HTTP Cette vulnérabilité entraîne un déni de service (DDoS) non authentifié. Une vulnérabilité de débordement de tampon dans SonicOS permet à un attaquant distant de provoquer un déni de service (DDoS) en envoyant une requête spécialement conçue. Cette vulnérabilité affecte les plates-formes SonicOS Gen5, Gen6, Gen7 et les pare-feu virtuels SonicOSv. (Sources) SonicWall PSIRT n’a connaissance d’aucune exploitation active de cette vulnérabilité dans la nature. Aucun rapport de PoC n’a été rendu public au moment de cet avis. Jusqu’à ce que les correctifs ci-dessous puissent être appliqués, SonicWall PSIRT recommande vivement aux administrateurs de limiter l’accès à la gestion de SonicOS aux sources fiables

141 MISE À JOUR DE SÉCURITÉ HYPERVISEUR CITRIX Plusieurs problèmes de sécurité ont été identifiés qui affectent Citrix Hypervisor. Deux problèmes, chacun pouvant chacun permettre au code privilégié dans une machine virtuelle invitée de provoquer le blocage ou l’arrêt de l’hôte. Ces deux problèmes n’affectent que les systèmes où la machine virtuelle invitée malveillante a un périphérique PCI physique qui lui est transmis par l’administrateur hôte. Ces problèmes ont les identifiants suivants CVE-2021-27379 et CVE-2021-28692. (Sources) Un autre problème qui affecte le matériel CPU sous-jacent. Bien que ce ne soit pas un problème dans le produit Citrix Hypervisor lui-même, Citrix publie des correctifs qui résolvent également ce problème de CPU. Ce problème est d’un type connu sous le nom d’« attaques

103 BULLETIN DE SÉCURITÉ QNAP 21 Découverte de multiples vulnérabilités du service d’assistance et des commutateurs NAS QNAP. Ces vulnérabilités concernent l’inclusion d’informations sensibles dans QSS, la lecture hors limite dans QSS et le contrôle d’accès dans le service d’assistance. Bulletin de sécurité Qnap qsa-21-24 du 11 juin 2021 CVE-2021-28805 – Inclusion d’informations sensibles dans QSS – Gravité élevée – Elle concerne certains commutateurs QNAP – Il a été rapporté que l’inclusion d’informations sensibles dans le code source affecte certains commutateurs QNAP exécutant QSS. Si elle est exploitée, cette vulnérabilité permet aux attaquants de lire les données de l’application. Nous avons déjà corrigé cette vulnérabilité dans les versions QSW-M2108-2C : QSS 1.0.3 build 20210505 et versions ultérieures. (Sources) Bulletin de sécurité