Vulnérabilité Log4j2 dans l’application Serv-U

Les administrateurs informatiques sont invités à mettre à jour l’application Serv-U de SolarWinds contre le bogue Log4j.

Source : NiroDesign | Getty Images

Les administrateurs TI dont les entreprises utilisent l’application de transfert de fichiers Serv-U de SolarWinds sont invités à installer une mise à jour après la découverte d’une vulnérabilité Log4j2.

Microsoft, qui a découvert le bogue (CVE-2021-35247), l’a décrit comme étant une « vulnérabilité de validation d’entrée qui pourrait permettre à des attaquants de construire une requête et d’envoyer cette requête brute sur le réseau ».

La découverte est survenue quand Microsoft a vu des attaques suspectes pendant sa surveillance des menaces tirant avantage des vulnérabilités Log4j2.

SolarWinds a publié une mise à jour pour Serv-U, version 15.3, pour corriger le bogue. L’entreprise a déclaré que l’écran de connexion Web de Serv-U au protocole d’authentification LDAP autorisait des caractères qui n’étaient pas suffisamment nettoyés.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Log4Shell utilisée pour déployer le rançongiciel NightSky sur VMware Horizon

Vulnérabilité critique découverte dans la console de base de données H2 SQL

Log4Shell n’érode pas la confiance envers les logiciels à code source ouvert

Adaptation et traduction vers le français par Dominique Lemoine

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

La vulnérabilité Log4J atteint des proportions endémiques, selon un rapport

Chargé d’enquêter sur la vulnérabilité découverte fin 2021 dans la bibliothèque Java Log4J, le Cyber Safety Review Board (CSRB) du Department of Homeland Security (DHS) américain affirme dans un rapport récemment publié que celle-ci restera un danger pendant de nombreuses années.

Balado Hashtag Tendances, 27 janvier 2022 — Absolunet vendue; et plus

Hashtag Tendances, 27 janvier 2022 - Apple donne 100 000 $ à un chasseur de bogues; Google bloquera des publicités ciblées; Absolunet acquise par Valtech; et plus.

Recourir aux logiciels ouverts requiert agilité et vigilance

Les entreprises qui utilisent le code source ouvert ont le devoir d'agir vite quand des bogues sont trouvés, selon Apache.

Faille de confidentialité dans le navigateur Safari d’Apple

Un bogue dans Safari peut permettre de divulguer l'activité de navigation et l'identité d'utilisateurs, selon un rapport.

Log4Shell utilisée pour déployer le rançongiciel NightSky sur VMware Horizon

Des acteurs continuent d'essayer d'exploiter les vulnérabilités de la bibliothèque à code source ouvert Apache Log4j2 connues sous le nom de Log4Shell, selon des chercheurs en sécurité, ce qui signifie que les équipes informatiques doivent travailler plus rapidement pour trouver et corriger les preuves de bogues dans leurs logiciels.