{"id":490093,"date":"2022-12-01T10:52:45","date_gmt":"2022-12-01T12:52:45","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-revelent-une-vulnerabilite-rce-critique-affectant-le-framework-java-quarkus\/"},"modified":"2022-12-01T10:52:47","modified_gmt":"2022-12-01T12:52:47","slug":"des-chercheurs-revelent-une-vulnerabilite-rce-critique-affectant-le-framework-java-quarkus","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-revelent-une-vulnerabilite-rce-critique-affectant-le-framework-java-quarkus\/","title":{"rendered":"Des chercheurs r\u00e9v\u00e8lent une vuln\u00e9rabilit\u00e9 RCE critique affectant le framework Java Quarkus"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans le framework Quarkus Java qui pourrait \u00eatre potentiellement exploit\u00e9e pour r\u00e9aliser l&#8217;ex\u00e9cution de code \u00e0 distance sur les syst\u00e8mes concern\u00e9s.<\/p>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-4116\" target=\"_blank\">CVE-2022-4116<\/a> (score CVSS : 9,8), la lacune pourrait \u00eatre trivialement abus\u00e9e par un acteur malveillant sans aucun privil\u00e8ge.<\/p>\n<p>&#8220;La vuln\u00e9rabilit\u00e9 se trouve dans l&#8217;\u00e9diteur de configuration de l&#8217;interface utilisateur de d\u00e9veloppement, qui est vuln\u00e9rable aux attaques d&#8217;h\u00f4te local qui pourraient conduire \u00e0 l&#8217;ex\u00e9cution de code \u00e0 distance (RCE)&#8221;, a d\u00e9clar\u00e9 Joseph Beeton, chercheur chez Contrast Security, qui a signal\u00e9 le bogue. <a rel=\"nofollow noopener\" href=\"https:\/\/www.contrastsecurity.com\/security-influencers\/localhost-attack-against-quarkus-developers-contrast-security\" target=\"_blank\">a dit<\/a> dans un \u00e9crit.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjRFZ8qsBvgTY-k97x35shkWsLwy9nml2qvGAhoSUrgnOv4cjMNq_Fxt3PX1-fGsYvukFgecZk_tEq7yo25JhDC5-Vs1Y7zQbdJRNWI2oxxbGupTJLIJ0PYz_4_8B6uWYsPON_7MgJlvofZuiWyadFpo71DOfXvGZzq6ie6zFQwJuzi2macqFLGR30PbA\/s1600\/Uptycs-728.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Quarkus, d\u00e9velopp\u00e9 par Red Hat, est un <a rel=\"nofollow noopener\" href=\"https:\/\/quarkus.io\/about\/\" target=\"_blank\">projet open source<\/a> qui est utilis\u00e9 pour cr\u00e9er des applications Java dans <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Containerization_(computing)\" target=\"_blank\">conteneuris\u00e9<\/a> et environnements sans serveur.<\/p>\n<p>Il convient de souligner que le <a rel=\"nofollow noopener\" href=\"https:\/\/access.redhat.com\/security\/cve\/CVE-2022-4116\" target=\"_blank\">publier<\/a> n&#8217;affecte que les d\u00e9veloppeurs qui ex\u00e9cutent Quarkus et sont amen\u00e9s \u00e0 visiter un site Web sp\u00e9cialement con\u00e7u, qui est int\u00e9gr\u00e9 avec du code JavaScript malveillant con\u00e7u pour installer ou ex\u00e9cuter des charges utiles arbitraires.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Cadre Quarkus Java\" border=\"0\" data-original-height=\"447\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1669899165_66_Des-chercheurs-revelent-une-vulnerabilite-RCE-critique-affectant-le-framework.png\" title=\"Cadre Quarkus Java\"\/><\/div>\n<p>Cela pourrait prendre la forme d&#8217;un harponnage ou d&#8217;une attaque de point d&#8217;eau sans n\u00e9cessiter aucune autre interaction de la part de la victime.  Alternativement, l&#8217;attaque peut \u00eatre d\u00e9clench\u00e9e en diffusant des publicit\u00e9s malveillantes sur des sites Web populaires fr\u00e9quent\u00e9s par les d\u00e9veloppeurs.<\/p>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/quarkus.io\/guides\/dev-ui\" target=\"_blank\">Interface utilisateur de d\u00e9veloppement<\/a>qui est propos\u00e9 par le biais d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/quarkus.io\/guides\/dev-mode-differences\" target=\"_blank\">Mode d\u00e9veloppeur<\/a>est li\u00e9 \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Localhost\" target=\"_blank\">h\u00f4te local<\/a> (c&#8217;est-\u00e0-dire l&#8217;h\u00f4te actuel) et permet \u00e0 un d\u00e9veloppeur de surveiller l&#8217;\u00e9tat d&#8217;une application, de modifier la configuration, de migrer des bases de donn\u00e9es et d&#8217;effacer les caches.<\/p>\n<p>Parce qu&#8217;elle est limit\u00e9e \u00e0 la machine locale du d\u00e9veloppeur, l&#8217;interface utilisateur de d\u00e9veloppement manque \u00e9galement de contr\u00f4les de s\u00e9curit\u00e9 cruciaux comme l&#8217;authentification et le partage de ressources cross-origin (<a rel=\"nofollow noopener\" href=\"https:\/\/web.dev\/cross-origin-resource-sharing\/\" target=\"_blank\">SCRO<\/a>) pour emp\u00eacher un site Web frauduleux de lire les donn\u00e9es d&#8217;un autre site.<\/p>\n<p>Le probl\u00e8me identifi\u00e9 par Contrast Security r\u00e9side dans le fait que le code JavaScript h\u00e9berg\u00e9 sur un site Web contenant des logiciels malveillants peut \u00eatre utilis\u00e9 pour modifier la configuration de l&#8217;application Quarkus via un <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/CORS#simple_requests\" target=\"_blank\">Requ\u00eate HTTP POST<\/a> pour d\u00e9clencher l&#8217;ex\u00e9cution du code.<\/p>\n<p>&#8220;Bien que cela n&#8217;affecte que le mode de d\u00e9veloppement, l&#8217;impact est toujours \u00e9lev\u00e9, car cela pourrait conduire un attaquant \u00e0 obtenir un acc\u00e8s local \u00e0 votre bo\u00eete de d\u00e9veloppement&#8221;, Quarkus <a rel=\"nofollow noopener\" href=\"https:\/\/quarkus.io\/blog\/quarkus-2-14-2-final-released\/\" target=\"_blank\">c&#8217;est not\u00e9<\/a> dans un conseil ind\u00e9pendant.<\/p>\n<p>Il est recommand\u00e9 aux utilisateurs de mettre \u00e0 niveau vers la version 2.14.2.Final et 2.13.5.Final pour se prot\u00e9ger contre la faille.  Une solution de contournement potentielle consiste \u00e0 d\u00e9placer tous les points de terminaison non applicatifs vers un chemin racine al\u00e9atoire.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/researchers-disclose-critical-rce.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans le framework Quarkus Java qui pourrait \u00eatre potentiellement exploit\u00e9e pour r\u00e9aliser l&#8217;ex\u00e9cution de code \u00e0 distance sur les syst\u00e8mes concern\u00e9s. Suivi comme CVE-2022-4116 (score CVSS : 9,8), la lacune pourrait \u00eatre trivialement abus\u00e9e par un acteur malveillant sans aucun privil\u00e8ge. &#8220;La vuln\u00e9rabilit\u00e9 se trouve dans l&#8217;\u00e9diteur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":490094,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[34911,12848,4168,22,4158,4165,4161,133,39961,4312,4157,4159,4171,4170,4167,4160,4163,4162,128816,22778,14397,4172,4169,196,4166,3667,4164],"class_list":["post-490093","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-affectant","tag-chercheurs","tag-comment-pirater","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-framework","tag-java","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-quarkus","tag-rce","tag-revelent","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/490093","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=490093"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/490093\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/490094"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=490093"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=490093"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=490093"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}