Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 22

CVE-2020-4448, CVE-2020-27221 : Multiple vulnérabilités dans les produits IBM

Le 27 mai et 04 juin 2021, l’éditeur a déclaré plusieurs vulnérabilités avec un score CVSSv3 de 9.8.

La première CVE-2020-4448 affecte Eclipse OpenJ9 jusqu’à la version 0.23 incluse. Il existe un risque de débordement de tampon basé sur la pile lorsque la machine virtuelle convertit les caractères UTF-8 dans le système d’encodage de la plate-forme sur laquelle tourne la machine virtuelle. Elle affecte notamment le produit WebSphere Application Server qui est inclus dans InfoSphere Master Data Management

Pour la seconde, l’éditeur a publié plusieurs avis de sécurité concernant la vulnérabilité référencée CVE-2020-27221 (score CVSSv3 de 9.8). Elle est basée sur un dépassement de tampon (buffer-overflow) dans Eclipse OpenJ9 lorsque la machine virtuelle ou JNI (Java Native Interface) convertit des caractères UTF-8 vers l’encodage local. Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance et aussi de provoquer un déni de service à distance en envoyant une trop longue chaîne de caractères. Elle affecte de nombreux produits dont notamment IBM Spectrum Protect Snapshot.

CVE(s) concernée(s) :

  • CVE-2020-4448 score : 9.8
  • CVE-2020-27221 score : 9.8

Liens :

Vulnérabilités antérieures

CVE-2021-31474 : Vulnérabilité dans SolarWinds Orion

Le 26 mars 2021 l’éditeur a déclaré une vulnérabilité affectant le produit Orion avec un score CVSSv3 de 9.8.

Cette vulnérabilité permet à un attaquant distant d’exécuter du code arbitraire sur les installations affectées de SolarWinds Network Performance Monitor 2020.2.1. L’authentification n’est pas nécessaire pour exploiter cette vulnérabilité. La faille réside au sein de la bibliothèque SolarWinds.Serialization. Le problème résulte de l’absence de validation correcte des données fournies par l’utilisateur, ce qui peut entraîner la désérialisation de données non fiables. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte de SYSTEM.

Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des systèmes d’exploitation affectés en commençant par les machines exposées sur des réseaux non sécurisés.

CVE(s) concernée(s) :

  • CVE-2021-31474 score : 9.8

Liens :

 

CVE-2021-21985, CVE-2021-21986 : Vulnérabilités dans VmWare vCenter Server

Le 26 mai 2021 l’éditeur a déclaré une vulnérabilité CVE-2021-21985 affectant le produit vCenter Server avec un score CVSSv3 de 9.8. Le client vSphere (HTML5) contient une vulnérabilité d’exécution de code à distance due à un manque de validation des entrées dans le plug-in Virtual SAN Health Check qui est activé par défaut dans vCenter Server. Un acteur malveillant ayant un accès réseau au port 443 peut exploiter ce problème afin d’exécuter des commandes avec des privilèges illimités sur le système d’exploitation sous-jacent qui héberge vCenter Server.

Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des systèmes d’exploitation affectés en commençant par les machines exposées sur des réseaux non sécurisés.

Par ailleurs, dans le même avis, l’éditeur déclarait la CVE-2021-21986 avec un score CVSSv3 de 6.5, cependant la National Vulnerability Database (NVD) a évalué quant à elle la vulnérabilité à un score de 9.8. Le client vSphere (HTML5) contient une vulnérabilité dans un mécanisme d’authentification pour les plug-ins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager et VMware Cloud Director Availability. Un acteur malveillant ayant un accès réseau au port 443 de vCenter Server peut, sans authentification requise, effectuer des actions autorisées par les plug-ins impactés.

Liens :


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 31 au 06 juin 2021, le CERT-FR a émis les publications suivantes :