Vulnérabilités notables de la semaine (du 23/03/24 – 29/03/24)

Cellule de réponses aux incidents de sécurité

Bulletins de Sécurités

Apple :

  • iOS, iPadOS, macOS Ventura et Sonoma, Safari et visionOS (CERTFR-2024-AVI-0233): Une vulnérabilité a été découverte dans les produits Apple. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
    Mise à jour: Disponible

Aruba :

  • ArubaOS-Switch (CERTFR-2024-AVI-0253) : Une vulnérabilité a été découverte dans Aruba ArubaOS-Switch. Elle permet à un attaquant de provoquer un déni de service à distance.
    Mise à jour: Disponible

Cisco :

  • Cisco IOS et IOS XE, WLC, POA par Catalyst séries 9800 et Business Wireless AP
    (CERTFR-2024-AVI-0260): De multiples vulnérabilités ont été découvertes dans les produits Cisco. Elles permettent à un attaquant de provoquer un déni de service à distance et un contournement de la politique de sécurité.
    Mise à jour: Disponible

Elasticsearch :

  • Elasticsearch (CERTFR-2024-AVI-0257) : De multiples vulnérabilités ont été découvertes dans Elasticsearch. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.
    Mise à jour: Disponible

GitLab :

  • GitLab CE (CERTFR-2024-AVI-0259): De multiples vulnérabilités ont été découvertes dans GitLab. Elles permettent à un attaquant de provoquer un déni de service à distance et une injection de code indirecte à distance (XSS).
    Mise à jour: Disponible

GLPI :

  • GLPI  (CERTFR-2024-AVI-0255): Une vulnérabilité a été découverte dans GLPI. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
    Mise à jour: Disponible

Google :

  • Google Chrome (CERTFR-2024-AVI-0254) : Multiples vulnérabilités identifiées.
    Mise à jour: Disponible

IBM :

  • IBM Spectrum Protect Server et QRadar SIEM (CERTFR-2024-AVI-0262):
    De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
    Mise à jour: Disponible

Kaspersky :

  • Kaspersky Anti Targeted Attack (CERTFR-2024-AVI-0251): De multiples vulnérabilités ont été découvertes dans Kaspersky Anti Targeted Attack. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.
    Mise à jour: Disponible

LINUX :

  • Noyau Linux de RedHat (CERTFR-2024-AVI-0264):
    De multiples vulnérabilités ont été découvertes dans le noyau Linux de RedHat. Elles permettent à un attaquant de provoquer un déni de service à distance.
    Mise à jour: Disponible
  • Noyau Linux de SUSE (CERTFR-2024-AVI-0265):
    De multiples vulnérabilités ont été découvertes dans le noyau Linux de SUSE. Certaines d’entre elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données et une exécution de code arbitraire.
    Mise à jour: Disponible
  • Noyau Linux d’Ubuntu (CERTFR-2024-AVI-0263): De multiples vulnérabilités ont été découvertes dans le noyau Linux d’Ubuntu. Certaines d’entre elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données et une exécution de code arbitraire à distance.
    Mise à jour: Disponible

Microsoft :

  • Microsoft Edge (CERTFR-2024-AVI-0261) : De multiples vulnérabilités ont été corrigées dans Microsoft Edge. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.
    Mise à jour: Disponible
  • Microsoft .Net (CERTFR-2024-AVI-0248) : Une vulnérabilité a été corrigée dans Microsoft .Net. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.
    Mise à jour: Disponible

MISP :

  • MISP (CERTFR-2024-AVI-0245): De multiples vulnérabilités ont été découvertes dans MISP. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.
    Mise à jour: Disponible

Mozilla :

  • Mozilla Firefox, Firefox ESR (CERTFR-2024-AVI-0246): De multiples vulnérabilités ont été découvertes dans Mozilla Firefox. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
    Mise à jour: Disponible

Nagios :

  • Nagios XI (CERTFR-2024-AVI-0252) : De multiples vulnérabilités ont été découvertes dans Nagios XI. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur et une injection de code indirecte à distance (XSS).
    Mise à jour: Disponible

Netapp :

  • StorageGRID (CERTFR-2024-AVI-0244) : De multiples vulnérabilités ont été découvertes dans Nagios XI. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur et une injection de code indirecte à distance (XSS).
    Mise à jour: Disponible

Splunk :

  • Splunk Enterprise et Cloud Platform (CERTFR-2024-AVI-0258) : De multiples vulnérabilités ont été découvertes dans les produits Splunk. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
    Mise à jour: Disponible

Tenable :

  • Tenable Security Center (CERTFR-2024-AVI-0249) : De multiples vulnérabilités ont été découvertes dans Tenable Security Center. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.
    Mise à jour: Disponible

Wireshark :

  • Wireshark  (CERTFR-2024-AVI-0256) : De multiples vulnérabilités ont été corrigées dans Microsoft Edge. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.
    Mise à jour: Disponible

Pour la liste complète des Avis du CERT-FR veuillez suivre ce lien : www.cert.ssi.gouv.fr/avis/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *