Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 11

CVE-2021-21193 : Vulnérabilité dans Google Chrome et Microsoft Edge

Le 12 mars 2021, Google a publié un correctif pour la vulnérabilité CVE-2021-21193. L'éditeur explique que celle-ci est due à une utilisation après libération (use after free) et qu'il a connaissance de l'existence d'un code d'exploitation. Le 16 mars 2021, Microsoft a répercuté ce correctif pour son navigateur Edge qui utilise le moteur de Chrome.

Liens :

Vulnérabilité dans GitLab

Le 17 mars 2021, les dernières versions de GitLab sont publiées. Celles-ci corrigent une vulnérabilité critique qui permet à un attaquant non authentifié d'exécuter du code arbitraire sur la machine. Cette vulnérabilité n'est pas encore associée à un identifiant CVE, mais son score CVSSv3 est estimé à 9.9. [MàJ 29 mars 2021] Cette vulnérabilité porte désormais l'identifiant CVE-2021-22192.

Liens :

Suivi des alertes

CVE-2021-26855, CVE-2021-27065, CVE-2021-26857, CVE-2021-26858 : Multiples vulnérabilités dans Microsoft Exchange Server

Pour rappel, le 2 mars 2021 Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero-day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019. L'alerte a été mise à jour suite à la publication d'un outil par Microsoft. Celui-ci sert à empêcher les exploitations futures de la vulnérabilité CVE-2021-26855, rechercher les traces d'exploitation et éventuellement corriger les effets d'une compromission. Le CERT-FR insiste sur le fait que l'utilisation de cet outil ne dispense ni d'installer les mises à jour, ni de procéder à une recherche de compromission. De plus, la vulnérabilité CVE-2021-26855 fait toujours l'objet d'une exploitation massive.

Liens :

CVE-2021-22986 : Vulnérabilité dans F5 BIG-IP

Le 10 mars 2021, F5 a corrigé plusieurs vulnérabilités critiques dans les produits BIG-IP, dont la vulnérabilité CVE-2021-22986 affectant l'interface iControl REST. Un attaquant pouvant atteindre cette interface peut exécuter du code arbitraire à distance. Des codes d'attaques publiques sont rapidement apparus sur internet et cette vulnérabilité est maintenant massivement exploitée. Le CERT-FR rappelle que d'une manière générale, l'accès aux interfaces de gestion doit impérativement être restreint, et que celles-ci ne doivent jamais être accessibles sur internet.

Liens :

Autre vulnérabilité

CVE-2021-21086 : Adobe Acrobat et Reader

Le 17 mars 2021, un chercheur du Project Zero a publié une preuve de concept pour la vulnérabilité critique CVE-2021-21086 permettant une exécution de code arbitraire à distance dans Adobe Acrobat et Reader. Cette vulnérabilité a été corrigée de manière discrète par Adobe dans une mise à jour en date du 9 février 2021.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 22 mars 2021 au 28 mars 2021, le CERT-FR a émis les publications suivantes :