Kaspersky Patchs défauts dans Anti-Virus pour serveur de fichiers Linux


Une mise à jour publiée plus tôt ce mois-ci par Kaspersky Lab pour son produit Anti-Virus pour Linux File Server répond à plusieurs vulnérabilités potentiellement graves découvertes par les chercheurs de Core Security.

Kaspersky Anti-Virus pour Linux File Server est conçu pour protéger les postes de travail et les serveurs de fichiers sur les grands réseaux d'entreprise. Les employés de Core Security ont déterminé que l'interface de gestion Web du produit est affectée par des vulnérabilités qui peuvent être exploitées pour l'exécution de code arbitraire et d'autres activités malveillantes.

L'un des trous de sécurité est causé par l'absence de tokens anti-CSRF dans l'interface Web, ce qui permet à un attaquant distant d'exécuter des commandes shell en incitant un utilisateur authentifié à accéder à une page Web spécialement conçue.

Les chercheurs ont également trouvé des vulnérabilités qui peuvent être exploitées pour augmenter les privilèges de la racine, exécuter un code arbitraire via un défaut de scripting cross-site (XSS) réfléchi et lire des fichiers arbitraires en raison d'un bug de traversée. Core Security a mis à disposition le code de preuve de concept (PoC) pour chacune des vulnérabilités.

Les vulnérabilités affectent la version 8 de Kaspersky Anti-Virus pour Linux File Server et elles sont suivies sous la forme CVE-2017-9813, CVE-2017-9810, CVE-2017-9811 et CVE-2017- 9812. Les défauts ont été signalés à Kaspersky en avril et des patchs ont été publiés le 14 juin. Core Security a confirmé que la mise à jour publiée par le fournisseur corrigeait tous les trous de sécurité.

"Kaspersky Lab souhaite remercier les chercheurs de Core Security …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils