Vulnérabilités ADOdb critiques corrigées dans Ubuntu
De multiples vulnérabilités ont été corrigées dans ADOdb, une bibliothèque de couche d'abstraction de base de données PHP. Ces vulnérabilités peuvent entraîner de graves problèmes de sécurité, tels que des attaques par injection SQL, des attaques par scripts intersites (XSS) et des contournements d'authentification.
L'équipe de sécurité d'Ubuntu a publié des mises à jour pour y remédier dans diverses versions d'Ubuntu, notamment Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM et Ubuntu 16.04 ESM. Les utilisateurs et les organisations sont vivement encouragés à appliquer rapidement les mises à jour afin de limiter les risques potentiels.
Comprendre ADOdb et ses vulnérabilités
ADOdb est largement utilisé dans les applications PHP pour fournir une interface unifiée pour l'accès aux bases de données. Cependant, comme tout logiciel, il n'est pas à l'abri des failles de sécurité. Plusieurs vulnérabilités critiques ont été identifiées et corrigées, ce qui souligne l'importance de maintenir votre bibliothèque ADOdb à jour.
Voici les vulnérabilités qui ont été corrigées :
CVE-2016-7405 (Score de gravité CVSS v3 : 9.8 Critique)
Il a été découvert que le pilote PDO d'ADOdb traitait incorrectement les chaînes de caractères entre guillemets. Cette faille pourrait permettre à un attaquant distant d'exécuter des attaques par injection SQL, compromettant potentiellement la base de données. Cette vulnérabilité ne concerne que Ubuntu 16.04.
CVE-2016-4855 (Score de gravité CVSS v3 : 6.1 Moyen)
Une autre vulnérabilité a été découverte dans la manière dont ADOdb gère les paramètres GET dans le fichier test.php. Un attaquant distant peut exploiter cette vulnérabilité pour effectuer des attaques XSS, ce qui peut conduire à des actions non autorisées au nom de l'utilisateur. Ce problème ne concerne que Ubuntu 16.04.
CVE-2021-3850 (score de gravité CVSS v3 : 9.1 critique)
Emmet Leahy a découvert une vulnérabilité dans laquelle ADOdb gère incorrectement les chaînes de caractères entre guillemets dans les connexions PostgreSQL. Cette faille pourrait permettre à un attaquant distant de contourner l'authentification et d'obtenir un accès non autorisé à la base de données.
Comment rester en sécurité
Pour protéger vos systèmes de ces vulnérabilités, il est essentiel de mettre à jour le paquetage ADOdb avec la dernière version disponible dans le référentiel de votre système Ubuntu. En gardant votre bibliothèque ADOdb à jour, vous pouvez protéger vos applications contre ces vulnérabilités critiques et garantir la sécurité de vos interactions avec les bases de données.
Ubuntu 16.04 et Ubuntu 18.04 ont déjà atteint leur fin de vie et ne reçoivent donc plus de correctifs de sécurité. Cependant, Canonical fournit des mises à jour de sécurité pour ces versions dans le cadre du programme Expanded Security Maintenance (ESM) via Ubuntu Pro.
Vous cherchez une alternative économique à Ubuntu Pro pour une sécurité accrue ? Pensez à l'extension du cycle de vie de TuxCare. TuxCare offre des correctifs de sécurité critiques pendant cinq années supplémentaires après la date de fin de vie, garantissant que votre système Ubuntu reste sécurisé pendant que vous planifiez une migration sûre à votre propre rythme.
De plus, l 'Extended Lifecycle Support for PHP de TuxCare vous offre des mises à jour de sécurité étendues pour les versions PHP obsolètes. Cela vous permet d'exécuter vos applications PHP avec d'anciennes versions de PHP en toute sécurité pendant des années sans avoir besoin de réécrire massivement le code.
Source : USN-6825-1