Tenable a publié une nouvelle version de Tenable.sc afin de corriger trois vulnérabilités de haute gravité.

« Tenable.sc s'appuie sur des logiciels tiers pour fournir les fonctionnalités sous-jacentes. Il a été constaté que l'un de ces composants tiers (Apache) contenait des vulnérabilités, et des versions mises à jour ont été mises à disposition par les fournisseurs. », a déclaré l’entreprise.

Les vulnérabilités corrigées sont les suivantes :

• CVE-2021-33193 : Une vulnérabilité qui peut entraîner l'ajout ou la modification de données, ce qui permet la compromission de l’intégrité. (Score CVSS : 7.5)
• CVE-2021-34798 : Une vulnérabilité qui permet l’envoi des requêtes mal formées peuvant amener le serveur à déréférencer un pointeur NULL, ce qui conduit l'application à révéler des informations confidentielles. (Score CVSS : 7.5)
• CVE-2021-40438 : Une vulnérabilité qui permet la modification de l'URI-PATH d’une requête ce qui entraine mod_proxy à transmettre la requête à un serveur d'origine choisi par un attaquant distant. (Score CVSS : 9)

Tenable a mis à niveau les composants Apache dans la version 202110.1 de Tenable.sc afin de remédier à l'impact potentiel des vulnérabilités mentionnées. Tous les utilisateurs du produit sont donc invités le mettre à jour.