HP met en garde contre de nouvelles vulnérabilités de sécurité critiques dans le client et l’agent Teradici PCoIP pour Windows, Linux et macOS qui affectent 15 millions de terminaux.
Le fournisseur d’ordinateurs et de logiciels a découvert que Teradici est affecté par le bug d’analyse de certificat OpenSSL récemment divulgué qui provoque une boucle de déni de service infinie et de multiples vulnérabilités de débordement d’entiers dans Expat.
Teradici PCoIP (PC over IP) est un protocole de bureau à distance propriétaire sous licence de nombreux fournisseurs de produits de virtualisation, acquis par HP en 2021et utilisé sur ses propres produits depuis lors.
Selon le site Web officiel, les produits Teradici PCoIP sont déployés sur 15 000 000 points de terminaison, soutenant les agences gouvernementales, les unités militaires, les sociétés de développement de jeux, les sociétés de diffusion, les organes de presse, etc.
Débordement d’entier critique
HP a révélé dix vulnérabilités dans deux avis (1, 2), dont trois de gravité critique (score CVSS v3 : 9,8), huit de gravité élevée et une de gravité moyenne.
L’un des défauts les plus importants corrigés cette fois est CVE-2022-0778une faille de déni de service dans OpenSSL déclenchée par l’analyse d’un certificat construit de manière malveillante.
La faille entraînera une boucle qui rendra le logiciel non réactif, mais compte tenu des applications de mission critiques du produit, une telle attaque serait assez perturbatrice car les utilisateurs ne pourront plus accéder à distance aux appareils.
Un autre ensemble critique de vulnérabilités fixes est CVE-2022-22822, CVE-2022-22823et CVE-2022-22824tous les problèmes de dépassement d’entier et de décalage invalide dans libexpat, pouvant entraîner une consommation de ressources incontrôlable, une élévation des privilèges et l’exécution de code à distance.
Les cinq autres failles de gravité élevée sont également des failles de débordement d’entier, suivies comme CVE-2021-45960, CVE-2022-22825, CVE-2022-22826, CVE-2022-22827 et CVE-2021-46143.
Les produits concernés par les vulnérabilités ci-dessus incluent le client PCoIP, le SDK client, l’agent graphique et l’agent standard pour Windows, Linux et macOS.
Pour résoudre tous les problèmes, les utilisateurs sont invités à mettre à jour vers la version 22.01.3 ou ultérieure, qui utilise OpenSSL 1.1.1n et libexpat 2.4.7.
HP a publié les mises à jour de sécurité les 4 et 5 avril 2022, vous êtes donc en sécurité si vous avez déjà mis à jour Teradici depuis lors.
Impact d’OpenSSL
L’impact de la vulnérabilité OpenSSL DoS est généralisé en raison de son déploiement à grande échelle. Par conséquent, même s’il ne s’agit pas d’une faille entraînant des attaques catastrophiques, il s’agit toujours d’un problème important.
À la fin du mois dernier, QNAP a averti que la plupart de ses appareils NAS étaient vulnérables à CVE-2022-0778 et a exhorté ses utilisateurs à appliquer les mises à jour de sécurité dès que possible.
La semaine dernière, Palo Alto Networks a averti ses clients de produits VPN, XDR et pare-feu de la même chose, en proposant des mises à jour de sécurité et des mesures d’atténuation.