Objet: Bulletin d'actualité CERTFR-2020-ACT-009

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'actions lorsqu'elles génèrent des risques sur le système d'information.

Vulnérabilités significatives de la semaine 43

CVE-2020-8174 : Oracle MySQL Cluster

Cette vulnérabilité critique permet à un attaquant non authentifié de corrompre la mémoire à distance, pouvant donc résulter en un déni de service ou une exécution de code arbitraire à distance.

Liens :

• /avis/CERTFR-2020-AVI-664/
• https://www.oracle.com/security-alerts/cpuoct2020verbose.html#MSQL

CVE-2020-14871, CVE-2020-3909 : Oracle Solaris

La CVE-2020-14871 est une vulnérabilité critique qui touche le composant PAM (Pluggable Authentication Module) et qui permet à un attaquant non authentifié de compromettre un serveur Oracle Solaris en version 10 ou 11. La CVE-2020-3909 est une vulnérabilité qui affecte les équipements Oracle ZFS Storage Appliance et qui permet à un attaquant non authentifié de prendre le contrôle de l'équipement à distance. La mise à jour de ces produits est donc fortement recommandée.

Liens :

• /avis/CERTFR-2020-AVI-665/
• https://www.oracle.com/security-alerts/cpuoct2020verbose.html#SUNS

CVE-2020-14882, CVE-2020-14883 : Oracle Weblogic

Ces deux vulnérabilités permettant à un attaquant non authentifié d'exécuter un code arbitraire à distance. Des codes d'exploitation sont déjà disponibles en source ouverte, il est donc extrêmement important d'appliquer les correctifs recommandés par l'éditeur.

Liens :

• /avis/CERTFR-2020-AVI-667/
• https://www.oracle.com/security-alerts/cpuoct2020verbose.html#FMW

CVE-2020-3118 : Cisco IOS XR

L'implémentation du protocole Cisco Discovery Protocol (CDP) dans Cisco IOS XR permet à un attaquant ayant accès au réseau local de réaliser une exécution de code arbitraire sur les équipements Cisco vulnérables. Cette vulnérabilité permet à un attaquant ayant un point d'entrée dans le système d'information de se latéraliser et prendre le contrôle d'un équipement réseau de façon persistente. L'éditeur a connaissance d'attaques ciblées exploitant cette vulnérabilité. La mise à jour des équipements est donc fortement recommandée.

Liens :

• /avis/CERTFR-2020-AVI-073/
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-rce

CVE-2020-15999 : Librairie FreeType

Google a publié une nouvelle version de Google Chrome le 20 octobre 2020 suite à la découverte par l'équipe Google Project Zero d'une vulnérabilité critique dans la libraire de rendu de police FreeType. Cette librairie est utilisée par de nombreux logiciels (notamment Microsoft Edge qui s'appuie sur Chromium) et des mises à jour sont donc à surveiller.

Liens :

• /avis/CERTFR-2020-AVI-659/
• /avis/CERTFR-2020-AVI-683/
• https://www.freetype.org/index.html#news

CVE-2020-12351, CVE-2020-12352 : Vulnérabilités dans l'implémentation Linux du protocole Bluetooth

Ces vulnérabilités permettent de réaliser une exécution de code arbitraire et une atteinte à la confidentialité des données sur des systèmes Linux vulnérables. Les différents éditeurs de distribution Linux a émis des correctifs qu'il est recommandé d'appliquer.

Liens :

• avis concernant Debian : /avis/CERTFR-2020-AVI-654/
• avis concernant Ubuntu : /avis/CERTFR-2020-AVI-653/
• avis concernant SUSE : /avis/CERTFR-2020-AVI-668/
• avis concernant SUSE : /avis/CERTFR-2020-AVI-661/
• avis concernant Red Hat : /avis/CERTFR-2020-AVI-655/

CVE-2020-5135 : Sonicwall SonicOS

L'éditeur a émis un avis de sécurité pour une vulnérabilité permettant une exécution arbitraire de code dans SonicOS. La vulnérabilité touche le portail VPN qui est donc exposé sur Internet. Une mise à jour sans délai est fortement recommandée.

Liens :

• /avis/CERTFR-2020-AVI-651/
• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2020-0010

Autres vulnérabilités

Codes d'attaque ciblant des vulnérabilités dans Nagios XI

Plusieurs vulnérabilités permettent une injection de code à distance dans Nagios XI par un attaquant authentifié. Des codes d'attaque ont été publiés pour certaines d'entre elles. Ces vulnérabilités ont été corrigées dans la version 5.7.4 publiée le 15 octobre 2020, il est recommandé de procéder à la mise à jour de Nagios XI.

Liens :

• /avis/CERTFR-2020-AVI-656/
• https://www.nagios.com/downloads/nagios-xi/change-log/

Code d'attaque ciblant une vulnérabilité dans rConfig

L'éditeur a publié la version 3.9.6 de rConfig le 25 juillet 2020 qui inclut des corrections de vulnérabilités, notamment une possibilité d'exécution de code arbitraire par un attaquant non authentifié. Un code d'attaque a été publié en octobre. Il est recommandé de procéder à la mise à jour de rConfig.

Liens

• https://www.rconfig.com/downloads/v3-release-notes

CVE-2020-14645 : Oracle Weblogic

Cette vulnérabilité critique permet de prendre le contrôle d'un serveur Oracle Weblogic par un attaquant non authentifié. Cette vulnérabilité a été corrigée à l'occasion de la mise à jour trimestrielle de juillet 2020 par Oracle. Des codes d'attaques sont publiquement disponibles.

Liens

• https://www.oracle.com/security-alerts/cpujul2020verbose.html#FMW

---

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.