Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 10

CVE-2021-26877, CVE-2021-26897, CVE-2021-26893, CVE-2021-26894 et CVE-2021-26895 : Multiple vulnérabilités dans Microsoft DNS

Lors du Patch Tuesday du 9 mars 2021, Microsoft a corrigé cinq vulnérabilités critiques avec un score CVSSv3 9.8 affectant Microsoft DNS. Pour plus d'informations veuillez-vous référer à l'alerte [1].

Liens :

CVE-2021-22986, CVE-2021-22991, CVE-2021-22992 et CVE-2021-22987 : Multiples vulnérabilités dans F5 BIG-IP

Le 10 mars 2021, l'éditeur a publié 21 vulnérabilités dont quatre vulnérabilités critiques avec un score CVSSv3 supérieur ou égal à 9.0 permettant à un attaquant de réaliser des exécutions de code arbitraire. Ces vulnérabilités affectes de nombreux modules des produits F5 BIG-IP et BIG-IQ. Veuillez-vous référer à l'avis complet pour plus d'informations sur les modules concernés par ces vulnérabilités. Des preuves de concept sont disponibles sur internet pour les vulnérabilités CVE-2021-22991 et CVE-2021-22992.

Liens :

CVE-2021-25149 : Vulnérabilité dans Aruba Instant

L'éditeur a publié une vulnérabilité dans le produit Aruba Instant avec un score CVSSv3 de 9.8. Cette vulnérabilité basée sur un dépassement de tampon permet à un attaquant en forgeant un paquet à destination de la PAPI (Aruba Networks AP management protocol), et, sans avoir besoin d'être authentifié de réaliser une exécution de code arbitraire à distance sur l'OS sous-jacent avec les privilèges utilisateurs.

Liens :

[SCADA] CVE-2021-22714 : Vulnérabilité dans les produits Schneider

Schneider a publié une vulnérabilité dans les produits ION9000, ION7400 et PM8000 avec un score CVSSv3 de 9.8. Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance, ainsi qu'un dénis de service.

Liens :

CVE-2021-21481, CVE-2021-21480 : Multiples vulnérabilités dans les produits SAP

L'éditeur a publié deux vulnérabilités dans les produits SAP NetWeaver AS JAVA et SAP Manufacturing Integration and Intelligence avec un score CVSSv3 respectivement de 9.9 (CVE-2201-21480) et 9.6 (CVE-2021-21481). Ces vulnérabilités permet à un attaquant d'exécuter du code arbitraire et réaliser une élévation de privilège.

Liens :

Suivi des alertes

CVE-2021-26855, CVE-2021-27065, CVE-2021-26857, CVE-2021-26858 : Multiples vulnérabilités dans Microsoft Exchange Server

Pour rappel, le 2 mars 2021 Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero-day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019. Deux mises à jour de l'alerte ont été réalisées cette semaine afin d'ajouter les recommandations de Microsoft et du CISA ainsi que les correctifs concernant les anciens Cumulative Updates pour les serveurs Exchange 2016 et 2019.

Liens :

CVE-2021-21972 : Vulnérabilité dans VMware vCenter Server

Le 23 février 2021, VMware a publié un avis de sécurité concernant trois vulnérabilités dont une critique permettant une exécution de code arbitraire. Une mise à jour de l'alerte à eu lieu le 12 mars pour prévenir que le CERT-FR a eu connaissance de code d’attaque publiquement disponible sur internet.

Liens :

 

 


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 01 mars 2021 au 07 mars 2021, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :