Vulnérabilités notables de la semaine (du 11/05/24 – 17/05/24)

Cellule de réponses aux incidents de sécurité

Alerte de sécurité

Une vulnérabilité majeure (CVE-2024-4947) avec un score CVSS de 8.8 a été découverte dans JavaScript, affectant significativement les navigateurs populaires tels que Google Chrome et Microsoft Edge.

Bulletins de Sécurités

Adobe :

  • Acrobat et Acrobat Reader 2020 et DC (CERTFR-2024-AVI-0406): De multiples vulnérabilités ont été découvertes dans les produits Adobe. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et une atteinte à la confidentialité des données.
    Mise à jour: Disponible

Apple :

  • iOS, macOS, Safari, tvOS et watchOS (CERTFR-2024-AVI-0392): De multiples vulnérabilités ont été découvertes dans les produits Apple. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données.
    Mise à jour: Disponible

Belden [SCADA] :

  • Hirschmann BAT-C2, OWL 3G, OWL LTE et LTE M12 (CERTFR-2024-AVI-0389):
    De multiples vulnérabilités ont été découvertes dans les produits Belden. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.
    Mise à jour: Disponible

Cisco :

  • ConfD et NSO (CERTFR-2024-AVI-0409) : De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une élévation de privilèges et une atteinte à la confidentialité des données.
    Mise à jour: Disponible

Fortinet :

  • Multiple produit Fortinet (CERTFR-2024-AVI-0404): De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance, une atteinte à la confidentialité des données.
    Mise à jour: Disponible

Google :

  • Chrome (CERTFR-2024-AVI-0410) et (CERTFR-2024-AVI-0391) : De multiples vulnérabilités ont été découvertes dans Google Chrome. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.
    Google indique que les vulnérabilités CVE-2024-4947 et CVE-2024-4761 sont activement exploitées.
    Mise à jour: Disponible

HPE :

  • Aruba Networking (CERTFR-2024-AVI-0408):
    De multiples vulnérabilités ont été découvertes dans les produits HPE Aruba Networking. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance, une atteinte à la confidentialité des données.
    Mise à jour: Disponible

IBM :

  • IBM QRadar SIEM, QRadar UBA et WebSphere Extreme Scale
    (CERTFR-2024-AVI-0419):
    De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.
    Mise à jour: Disponible

Intel :

  • Nombreux produits Intel (CERTFR-2024-AVI-0397) : De multiples vulnérabilités ont été découvertes dans les produits Intel. Certaines d’entre elles permettent à un attaquant de provoquer une élévation de privilèges, un déni de service à distance et une atteinte à la confidentialité des données.
    Mise à jour: Disponible
    Exception: Intel a indiqué qu’aucun correctif de sécurité ne sera fourni pour Intel Power Gadget et pour le micrologiciel UEFI pour Intel Server Board S2600BP.
    Se référer au bulletin de sécurité de l’éditeur pour l’obtention des produits affectés par les vulnérabilité CVE-2023-45733 et CVE-2024-21823

LibreOffice :

  • LibreOffice (CERTFR-2024-AVI-0407): Une vulnérabilité a été découverte dans Libreoffice. Elle permet à un attaquant de provoquer une exécution de code arbitraire.
    Mise à jour: Disponible

LINUX :

  • Noyau Linux de RedHat (CERTFR-2024-AVI-0421):
    De multiples vulnérabilités ont été découvertes dans le noyau Linux de Red Hat. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.
    Mise à jour: Disponible
  • Noyau Linux de SUSE (CERTFR-2024-AVI-0420):
    De multiples vulnérabilités ont été découvertes dans le noyau Linux de SUSE. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une élévation de privilèges et un déni de service à distance.
    Mise à jour: Disponible
  • Noyau Linux d’Ubuntu (CERTFR-2024-AVI-0422):
    De multiples vulnérabilités ont été découvertes dans le noyau Linux d’Ubuntu. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données et un déni de service.
    Mise à jour: Disponible

Microsoft :

  • Microsoft Edge (CERTFR-2024-AVI-0417), (CERTFR-2024-AVI-0398) et (CERTFR-2024-AVI-0386): De multiples vulnérabilités ont été découvertes dans Microsoft Edge. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et un problème de sécurité non spécifié par l’éditeur.
    Microsoft indique que les vulnérabilités CVE-2024-4947 et CVE-2024-4761 sont activement exploitées.
    Mise à jour: Disponible
  • Windows et Windows Server (CERTFR-2024-AVI-0400): De multiples vulnérabilités ont été découvertes dans Microsoft Windows. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données.
    Mise à jour: Disponible
  • Microsoft Office (CERTFR-2024-AVI-0399): Une vulnérabilité a été découverte dans Microsoft Office. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
    Mise à jour: Disponible
  • Microsoft Azure Monitor Agent (CERTFR-2024-AVI-0418): Une vulnérabilité a été découverte dans Microsoft Azure Monitor Agent. Elle permet à un attaquant de provoquer une élévation de privilèges.
    Mise à jour: Disponible
  • Azure Migrate (CERTFR-2024-AVI-0402): Une vulnérabilité a été découverte dans Microsoft Azure Migrate. Elle permet à un attaquant de provoquer une injection de code indirecte à distance (XSS).
    Mise à jour: Disponible
  • Microsoft .Net (CERTFR-2024-AVI-0401): Une vulnérabilité a été découverte dans Microsoft .Net. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
    Mise à jour: Disponible
  • Multiples vulnérabilités dans les produits Microsoft (CERTFR-2024-AVI-0403):
    De multiples vulnérabilités ont été découvertes dans les produits Microsoft. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
    Microsoft indique que la vulnérabilité CVE-2024-30046 a été divulguée publiquement.
    Mise à jour: Disponible

Mitel [Téléphonie] :

  • OpenScape Desk Phone et Unify OpenScape UC Application (CERTFR-2024-AVI-0412): De multiples vulnérabilités ont été découvertes dans les produits Mitel. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et une atteinte à l’intégrité des données.
    Mise à jour: Disponible

MongoDB :

  • MongoDB Server (CERTFR-2024-AVI-0413): De multiples vulnérabilités ont été découvertes dans MongoDB. Elles permettent à un attaquant de provoquer un déni de service à distance.
    Mise à jour: Disponible

Moodle :

  • Moodle (CERTFR-2024-AVI-0388) : De multiples vulnérabilités ont été découvertes dans Moodle. Elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS), une injection de requêtes illégitimes par rebond (CSRF), un contournement de la politique de sécurité.
    Mise à jour: Disponible

Mozilla :

  • Firefox, Firefox ESR et Thunderbird (CERTFR-2024-AVI-0396): De multiples vulnérabilités ont été découvertes dans les produits Mozilla. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et un contournement de la politique de sécurité.
    Mise à jour: Disponible

OpenSSL :

  • OpenSSL (CERTFR-2024-AVI-0416): Une vulnérabilité a été découverte dans OpenSSL. Elle permet à un attaquant de provoquer un déni de service à distance.
    Mise à jour: Disponible

Palo Alto Networks :

  • GlobalProtect app (CERTFR-2024-AVI-0414): Une vulnérabilité a été découverte dans les produits Palo Alto Networks. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l’intégrité des données et un contournement de la politique de sécurité.
    Mise à jour: Disponible

SAP :

  • Multiples produits SAP (CERTFR-2024-AVI-0395): De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d’entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, une exécution de code arbitraire à distance et un déni de service à distance.
    Mise à jour: Disponible

Siemens [SCADA] :

  • Multiples produits Siemens (CERTFR-2024-AVI-0393): De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données.
    Mise à jour: Disponible

StrongSwan :

  • StrongSwan (CERTFR-2024-AVI-0390): Une vulnérabilité a été découverte dans Strongswan. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
    Mise à jour: Disponible

Tenable :

  • Nessus et Nessus agent (CERTFR-2024-AVI-0415): De multiples vulnérabilités ont été découvertes dans les produits Tenable. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et une élévation de privilèges.
    Mise à jour: Disponible

Typo3 :

  • Typo3 (CERTFR-2024-AVI-0394): De multiples vulnérabilités ont été découvertes dans Typo3. Elles permettent à un attaquant de provoquer un déni de service à distance, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.
    Mise à jour: Disponible

VMware :

  • VMware Fusion et Workstation Pro et Player (CERTFR-2024-AVI-0405): De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
    Mise à jour: Disponible
  • VMware Avi Load Balancer (CERTFR-2024-AVI-0387): De multiples vulnérabilités ont été découvertes dans VMware Avi Load Balancer. Elles permettent à un attaquant de provoquer une élévation de privilèges et une atteinte à la confidentialité des données.
    Mise à jour: Disponible

Wireshark :

  • Wireshark (CERTFR-2024-AVI-0411): De multiples vulnérabilités ont été découvertes dans les produits Wireshark. Elles permettent à un attaquant de provoquer un déni de service à distance.
    Mise à jour: Disponible

Pour la liste complète des Avis du CERT-FR veuillez suivre ce lien : www.cert.ssi.gouv.fr/avis/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *