Protocole UPnP : le Cert-US préconise sa désactivation
Sécurité : En raison de l’existence de failles de sécurité dans un protocole réseau, l’US-CERT recommande de désactiver l’UPnP (Universal Plug and Play). Près de 7 000 produits ont été identifiés comme vulnérables.
Ce n’est cette fois pas Java qui fait l’objet d’une alerte de sécurité de l’US-CERT et d’une mise en garde appelant les utilisateurs à désactiver le fautif sur leur ordinateur. Non, c’est un protocole réseau qui est en cause : UPnP (Universal Plug and Play).
Ce protocole qui permet de connecter facilement un appareil (imprimante, routeurs, etc.) comprend plusieurs vulnérabilités de sécurité. Ce sont des chercheurs en sécurité de Rapid7 qui l’ont révélé dans un livre blanc, estimant que 40 à 50 millions d’appareils sont vulnérables à une intrusion. Plus de 1.500 constructeurs sont concernés d'après Rapid7 (6.900 produits identifiés comme vulnérables).
6900 produits identifiés
Les informations de ces chercheurs ont été prises très au sérieux par l’US-CERT, rattaché à la sécurité intérieure américaine, qui a donc publié une alerte. Le CERT qui précise que libupnp, le SDK Open Source pour les terminaux UPnP et exploité par un grand nombre de constructeurs, comprend de multiples vulnérabilités.
L’US-CERT demande aux vendeurs et développeurs concernés de passer à la version 1.6.18 de libupnp qui remédie à ces failles de sécurité. Pour les utilisateurs, lorsque c’est possible, la désactivation du protocole UPnP est préconisée - et des restrictions d'accès pour les protocoles SSDP et SOAP.
Aucun commentaire:
Publier un commentaire