Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 24

CVE-2018-18809, CVE-2020-10531 : Multiple vulnérabilités dans IBM Control Center

Le 16 juin l'éditeur a corrigé deux vulnérabilités affectant le produit IBM Control Center et ayant un score CVSSv3 de 9.9 et 9.8. La première vulnérabilité (CVE-2018-18809) permet à un attaquant de pouvoir à distance réaliser une attaque de type Directory Traversal afin d'obtenir des informations sur le système hôte. La seconde (CVE-2020-10531) est basée sur un dépassement de tampon (integer overflow) dans la fonction UnicodeString::doAppend() et permet à un attaquant distant de pouvoir exécuter du code arbitraire sur le système ou réaliser un déni de service de l'application.

Liens :

CVE-2021-30737, CVE-2021-30762 : Multiple vulnérabilités dans Apple iOS 12.5.4

Le 14 juin l'éditeur a déclaré plusieurs vulnérabilités critiques affectant le système d'exploitation iOS en version 12.5.4. Aucun score CVSSv3 n'a été mentionné, cependant l'éditeur spécifie que les CVE-2021-30737 et CVE-2021-30762 sont activement exploitées. Ces deux vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire.

Liens :

CVE-2021-30554 : Vulnérabilité dans Google Chrome

Le 17 juin l'éditeur a corrigé quatre vulnérabilités dont la CVE-2021-30554 qui permet l'exécution de code arbitraire. Cette vulnérabilité est, d'après l'éditeur, activement exploitée.

Liens :

Vulnérabilités antérieures

CVE-2021-22908: Vulnérabilité dans Pulse Connect Secure

Le 14 mai 2021, l'éditeur avait publié un avis de sécurité pour une vulnérabilité affectant la fonctionnalité de partage de fichier Windows. Cette vulnérabilité avait fait l'objet d'un avis ainsi que d'un bulletin d'actualité CERT-FR dans lesquels était présenté le mode de contournement à appliquer. Le 11 juin 2021, l'éditeur a mis à jour son avis de sécurité en indiquant la mise à disposition de la version 9.1R11.5. Cette version est à appliquer sans délai.

Liens :

CVE-2021-32654 : Vulnérabilité dans Nextcloud

Le 1er juin, l'éditeur a corrigé une vulnérabilité dans nextcloud permettant à un attaquant non authentifié d'obtenir des droits en lecture et en écriture sur tout partage de fichier réparti entre plusieurs serveurs (Federated File Share). Cette vulnérabilité permet donc un attaquant de déposer du contenu malveillant ou d'accéder de façon indue à des informations. Cette CVE a été revalorisée par le NVD avec le score de 9.1.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 17 octobre 2022 au 23 octobre 2022, le CERT-FR a émis les publications suivantes :