Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 24
CVE-2018-18809, CVE-2020-10531 : Multiple vulnérabilités dans IBM Control Center
Le 16 juin l'éditeur a corrigé deux vulnérabilités affectant le produit IBM Control Center et ayant un score CVSSv3 de 9.9 et 9.8. La première vulnérabilité (CVE-2018-18809) permet à un attaquant de pouvoir à distance réaliser une attaque de type Directory Traversal afin d'obtenir des informations sur le système hôte. La seconde (CVE-2020-10531) est basée sur un dépassement de tampon (integer overflow) dans la fonction UnicodeString::doAppend() et permet à un attaquant distant de pouvoir exécuter du code arbitraire sur le système ou réaliser un déni de service de l'application.Liens :
- /avis/CERTFR-2021-AVI-471/
- https://www.ibm.com/support/pages/node/6464409
- https://www.ibm.com/support/pages/node/6464423
CVE-2021-30737, CVE-2021-30762 : Multiple vulnérabilités dans Apple iOS 12.5.4
Le 14 juin l'éditeur a déclaré plusieurs vulnérabilités critiques affectant le système d'exploitation iOS en version 12.5.4. Aucun score CVSSv3 n'a été mentionné, cependant l'éditeur spécifie que les CVE-2021-30737 et CVE-2021-30762 sont activement exploitées. Ces deux vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire.Liens :
CVE-2021-30554 : Vulnérabilité dans Google Chrome
Le 17 juin l'éditeur a corrigé quatre vulnérabilités dont la CVE-2021-30554 qui permet l'exécution de code arbitraire. Cette vulnérabilité est, d'après l'éditeur, activement exploitée.Liens :
- /avis/CERTFR-2021-AVI-473/
- https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html
Vulnérabilités antérieures
CVE-2021-22908: Vulnérabilité dans Pulse Connect Secure
Le 14 mai 2021, l'éditeur avait publié un avis de sécurité pour une vulnérabilité affectant la fonctionnalité de partage de fichier Windows. Cette vulnérabilité avait fait l'objet d'un avis ainsi que d'un bulletin d'actualité CERT-FR dans lesquels était présenté le mode de contournement à appliquer. Le 11 juin 2021, l'éditeur a mis à jour son avis de sécurité en indiquant la mise à disposition de la version 9.1R11.5. Cette version est à appliquer sans délai.Liens :
- /avis/CERTFR-2021-AVI-384/
- /actualite/CERTFR-2021-ACT-021/
- https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44800/?kA23Z000000boUgSAI
CVE-2021-32654 : Vulnérabilité dans Nextcloud
Le 1er juin, l'éditeur a corrigé une vulnérabilité dans nextcloud permettant à un attaquant non authentifié d'obtenir des droits en lecture et en écriture sur tout partage de fichier réparti entre plusieurs serveurs (Federated File Share). Cette vulnérabilité permet donc un attaquant de déposer du contenu malveillant ou d'accéder de façon indue à des informations. Cette CVE a été revalorisée par le NVD avec le score de 9.1.Liens :
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-jf9h-v24c-22g5
- https://nvd.nist.gov/vuln/detail/CVE-2021-32654#vulnCurrentDescriptionTitle
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.