• Votre panier est vide.

  • LOGIN

Plusieurs vulnérabilités détectées dans le logiciel APC Easy UPS


Certains articles de veille peuvent faire l'objet de traduction automatique.


Attention, utilisateurs d’UPS ! Schneider Electric a corrigé de nombreuses vulnérabilités graves dans son logiciel APC Easy UPS Online Monitoring. L’exploitation de ces failles pourrait permettre l’exécution de code à distance et des attaques DoS sur les appareils cibles.

Vulnérabilités du logiciel de surveillance en ligne APC Easy

Selon un récent consultatif de Schneider Electric, les fournisseurs ont corrigé trois vulnérabilités de sécurité différentes dans son logiciel de surveillance en ligne APC Easy UPS.

Plus précisément, deux de ces vulnérabilités pourraient permettre des attaques d’exécution de code à distance par un adversaire. Alors qu’une troisième vulnérabilité pourrait permettre à l’attaquant d’induire un déni de service sur les appareils cibles.

Vous trouverez ci-dessous un examen rapide de ces vulnérabilités.

  • CVE-2023-29411 (CVSS 9.8) : Il s’agit d’une vulnérabilité de gravité critique qui pourrait permettre à un attaquant de modifier les informations d’identification de l’administrateur. L’exploitation de la faille pourrait conduire à l’exécution de code à distance sur l’interface Java RMI. Schneider Electric a crédité le chercheur Esjay de Trend Micro Zero Day Initiative pour avoir signalé la vulnérabilité.
  • CVE-2023-29412 (CVSS 9.8) : Un autre défaut de gravité critique qui existait en raison d’une mauvaise gestion de la sensibilité à la casse. L’exploitation de la faille pourrait permettre à un attaquant distant de manipuler des méthodes internes via l’interface Java RMI et d’exécuter des codes. Cette vulnérabilité a attiré l’attention de deux chercheurs, Esjay de Trend Micro Zero Day Initiative et Nicholas Miles de Tenable Network Security.
  • CVE-2023-29413 (CVSS 7.5) : Il s’agit d’une vulnérabilité de haute gravité qui pourrait permettre à un adversaire non authentifié d’induire un déni de service sur le service Schneider UPS Monitor cible. L’avis remercie Esjay de Trend Micro ZDI d’avoir signalé ce problème.

Atténuations recommandées et mises à jour corrigées

Le fournisseur a expliqué que ces vulnérabilités affectent les clients Easy Ups Software pour Windows 10 et 11 et Windows Server 2016, 2019 et 2022. Cependant, Schneider Electric a actuellement publié les correctifs pour la version Windows 10 uniquement. Les versions logicielles mises à jour incluent la version V2.5-GA-01-23036 du logiciel de surveillance en ligne APC Easy UPS et la version V2.5-GS-01-23036 du logiciel de surveillance en ligne Schneider Electric Easy UPS.

Néanmoins, pour les utilisateurs de Windows 11 et Windows Server 2016, 2019 et 2022, les fournisseurs recommandent de mettre à jour les unités Easy UPS avec le logiciel PowerChute Serial Shutdown (PCSS) sur tous les serveurs protégés par votre Easy UPS On-Line (modèles SRV, SRVL) comme atténuation.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

mai 5, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)