Bulletin d’actualité CERTFR-2024-ACT-022 – CERT-FR


Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 20

Tableau récapitulatif :

Autres vulnérabilités

Vulnérabilités dans les produits Alcatel-Lucent

Le 6 mai 2024, Alcatel-Lucent a publié un avis de sécurité détaillant les vulnérabilités CVE-2024-29149 et CVE-2024-29150. Ces vulnérabilités permettent de charger un micrologiciel arbitraire et d’effectuer une élévation de privilèges.

Lien :

Vulnérabilités dans les produits D-Link

Le 16 mai 2024, la Cisa a ajouté les vulnérabilités CVE-2021-40655 et CVE-2014-100005 à son catalogue de vulnérabilités réputées exploitées. Celles-ci permettent de contourner les mesures d’authentification sur les équipements D-Link DIR-600 et DIR-605.

De plus le CERT-FR a connaissance de codes d’exploitation publics permettant une élévation de privilège et une exécution de code arbitraire à distance sur les équipements DIR-x4860.

Lien :

CVE-2024-32113 : Exécution de code arbitraire dans Apache OfBiz

Le 8 mai 2024, Apache a publié un avis de sécurité concernant la vulnérabilité CVE-2024-32113. Cette vulnérabilité permet l’exécution de code arbitraire à distance en exploitant une traversée de répertoire. Le CERT-FR a connaissance d’une preuve de concept publique.

La version corrective 18.12.13 a été publiée.

Lien :

Multiples vulnérabilités dans Solarwinds Access Rights Manager (ARM)

Le 9 mai 2024, Solarwinds a publié des avis de sécurité concernant les vulnérabilité CVE-2024-23473 et CVE-2024-28075. Ces vulnérabilités permettent l’exécution de code arbitraire à distance et le contournement de l’authentification. La CVE-2024-28075 est évaluée à un score CVSSv3 de 9.0 (CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

La version 2023.2.3 a été publiée pour corriger cette vulnérabilité.

Liens :

Multiples vulnérabilités dans Git

Le 14 mai 2024, cinq avis de sécurité concernant git ont été publiés. Les vulnérabilités présentées permettent notamment l’exécution de code arbitraire à distance (CVE-2024-32021 et CVE-2024-32002).

Les vulnérabilités sont corrigées dans les versions v2.45.1, v2.44.1, v2.43.4, v2.42.2, v2.41.1, v2.40.2 et v2.39.4.

Liens :

Injection de code indirecte à distance (XSS) dans Collabora Online

Le 2 avril 2024, Collabora Online a publié un avis de sécurité indiquant la présence d’une vulnérabilité de type injection de code indirecte à distance (XSS), avec pour identifiant CVE-2024-29182. Le CERT-FR a connaissance de codes d’exploitation publics.

Lien :

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.



Source link