Encore une alerte de mon hébergeur qui me dit de résoudre ceci (au risque de voir mon serveur désactivé) :
Madame, Monsieur,
L’Agence nationale de la sécurité des systèmes d’information (ANSSI : [▻https://www.ssi.gouv.fr/]) vous contacte car un service LemonLDAP-NG présent sur des réseaux vous appartenant sont susceptibles d’être concernés par une vulnérabilité critique.
Le CERT-FR vous recommande de prendre en compte ces informations dans les meilleurs délais. Cette vulnérabilité pourrait être exploitée de façon imminente, le risque de compromission est donc élevé, c’est pourquoi nous prenons l’initiative de vous transmettre ce signalement.
Références :
Avis de sécurité LemonLDAP-NG du 28 mars 2023
▻https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/-/releases/v2.16.1
Publication de CERT-FR CERTFR-2023-AVI-0300 du 12 avril 2023
▻https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0300
Systèmes affectés
L’éditeur indique que les systèmes suivants sont affectés :
LemonLDAP-NG versions antérieures à 2.16.1
Détails de la vulnérabilité et conséquences
La vulnérabilité CVE-2023-28862 permet à un attaquant de contourner l’authentification multifacteur. Son score CVSSv3 est de 9,8 (sur 10).
Evolution de la menace
En date du 19 avril 2023, l’ANSSI n’a connaissance ni de code d’exploitation public, ni d’exploitation active de la vulnérabilité CVE-2023-28862.
Recommandations
L’ANSSI recommande fortement de procéder aux opérations suivantes :
appliquer la mise à jour dans les meilleurs délais.
Rappels
Le guide d’hygiène informatique : ▻https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
Sauf que je ne trouve aucune trace de ce LemonLDAP-NG sur ma machine. En fait, je ne suis même pas certain de ce qu’il faut faire pour vérifier que ce n’est pas sur la machine (j’ai fait par exemple un locate lemonldap
, qui ne me retourne rigoureusement rien).