Plex logo with live TV
Agence web » Actualités du digital » Mettez à jour votre serveur Plex maintenant pour corriger cette vulnérabilité de sécurité

Mettez à jour votre serveur Plex maintenant pour corriger cette vulnérabilité de sécurité

ParTremplin Numérique Publié le

Les programmes de primes de bogues sont extrêmement utiles pour renforcer la sécurité dans le logiciel que nous utilisons quotidiennement. Si vous utilisez Plex, une vulnérabilité a été découverte via ledit programme – et vous voudrez mettre à jour dès que vous en aurez l'occasion, car cela semble sérieux.

Plex a commencé à avertir les utilisateurs qu'ils devraient immédiatement mettre à jour leur logiciel pour corriger une vulnérabilité nouvellement découverte, mais encore détaillée. L'entreprise a pris la mesure inhabituelle d'envoyer directement un e-mail aux utilisateurs exécutant des versions de serveur affectées, ce qui doit être assez grave.

Le problème de sécurité a un impact sur les versions de serveur de médias Plex 1.41.7.x via 1.42.0.x. Dans un e-mail envoyé aux utilisateurs jeudi, quatre jours après la libération du correctif, Plex a confirmé que la vulnérabilité avait été divulguée de manière responsable via son programme de primes de bogues. Selon Plex, « Grâce à cet utilisateur, nous avons pu résoudre le problème, publier une version mise à jour du serveur et continuer à améliorer notre sécurité et nos défenses. » Cependant, Plex est resté serré sur la nature et la gravité de la faille. Au moment où j'écris ceci, pas même un CVE-ID, l'identifiant standard pour les vulnérabilités de cybersécurité connue, a été attribué.

La société n'a également fourni aucun détail technique qui préciserait si le bogue pourrait autoriser l'exposition aux données, le déni de service ou une attaque plus sévère d'exécution de code distant (RCE). C'est bien, cependant. Comme il ne s'agit pas d'une vulnérabilité publiquement divulguée, Plex ne veut pas que les attaquants se déplacent autour des points d'entrée possibles et ne parviennent potentiellement à la vulnérabilité par eux-mêmes, et il ne veut pas non plus qu'ils sachent combien, ou à quel point ils peuvent en faire peu. Ce qu'ils peut Cependant, est la mise à jour inverse de la mise à jour pour identifier la vulnérabilité sous-jacente, vous voudrez donc le télécharger dès que possible. Une fois compris, ils peuvent développer des exploits pour cibler tous les serveurs qui restent non corrigés – vous seriez surpris par le nombre de personnes qui décident de ne jamais mettre à jour leurs serveurs. Voyant comment l'entreprise semblait nécessaire d'envoyer des e-mails aux gens à ce sujet, c'est certainement plus sérieusement.

Plex a soutenu de graves problèmes de sécurité dans le passé, certains ayant des conséquences profondes au-delà de son propre écosystème. En mars 2023, l'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté une vulnérabilité plex de trois ans, identifiée comme CVE-2020-5741, à son catalogue de vulnérabilités exploitées connues. Ce défaut RCE, s'il est exploité avec succès, pourrait permettre à un attaquant d'exécuter du code arbitraire sur le serveur d'un utilisateur.

La version patch et sécurisée est Plex Media Server 1.42.1.10060, qui est disponible via le mécanisme de mise à jour intégré du serveur ou directement à partir de la page officielle des téléchargements Plex. Si vous avez un serveur Plex, téléchargez la mise à jour dès que vous le pouvez.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.