Objet: Bulletin d’actualité CERTFR-2021-ACT-026

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 24

CVE-2018-18809, CVE-2020-10531 : Multiple vulnérabilités dans IBM Control Center

Le 16 juin l’éditeur a corrigé deux vulnérabilités affectant le produit IBM Control Center et ayant un score CVSSv3 de 9.9 et 9.8. La première vulnérabilité (CVE-2018-18809) permet à un attaquant de pouvoir à distance réaliser une attaque de type Directory Traversal afin d’obtenir des informations sur le système hôte. La seconde (CVE-2020-10531) est basée sur un dépassement de tampon (integer overflow) dans la fonction UnicodeString::doAppend() et permet à un attaquant distant de pouvoir exécuter du code arbitraire sur le système ou réaliser un déni de service de l’application.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-471/
• https://www.ibm.com/support/pages/node/6464409
• https://www.ibm.com/support/pages/node/6464423

CVE-2021-30737, CVE-2021-30762 : Multiple vulnérabilités dans Apple iOS 12.5.4

Le 14 juin l’éditeur a déclaré plusieurs vulnérabilités critiques affectant le système d’exploitation iOS en version 12.5.4. Aucun score CVSSv3 n’a été mentionné, cependant l’éditeur spécifie que les CVE-2021-30737 et CVE-2021-30762 sont activement exploitées. Ces deux vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-398/
• https://support.apple.com/en-gb/HT212548

CVE-2021-30554 : Vulnérabilité dans Google Chrome

Le 17 juin l’éditeur a corrigé quatre vulnérabilités dont la CVE-2021-30554 qui permet l’exécution de code arbitraire. Cette vulnérabilité est, d’après l’éditeur, activement exploitée.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-473/
• https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html

Vulnérabilités antérieures

CVE-2021-22908: Vulnérabilité dans Pulse Connect Secure

Le 14 mai 2021, l’éditeur avait publié un avis de sécurité pour une vulnérabilité affectant la fonctionnalité de partage de fichier Windows. Cette vulnérabilité avait fait l’objet d’un avis ainsi que d’un bulletin d’actualité CERT-FR dans lesquels était présenté le mode de contournement à appliquer. Le 11 juin 2021, l’éditeur a mis à jour son avis de sécurité en indiquant la mise à disposition de la version 9.1R11.5. Cette version est à appliquer sans délai.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-384/
• https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-021/
• https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44800/?kA23Z000000boUgSAI

CVE-2021-32654 : Vulnérabilité dans Nextcloud

Le 1er juin, l’éditeur a corrigé une vulnérabilité dans nextcloud permettant à un attaquant non authentifié d’obtenir des droits en lecture et en écriture sur tout partage de fichier réparti entre plusieurs serveurs (Federated File Share). Cette vulnérabilité permet donc un attaquant de déposer du contenu malveillant ou d’accéder de façon indue à des informations. Cette CVE a été revalorisée par le NVD avec le score de 9.1.

Liens :

• https://github.com/nextcloud/security-advisories/security/advisories/GHSA-jf9h-v24c-22g5
• https://nvd.nist.gov/vuln/detail/CVE-2021-32654#vulnCurrentDescriptionTitle

---

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 14 au 20 juin 2021, le CERT-FR a émis les publications suivantes :

• CERTFR-2021-AVI-461 : Multiples vulnérabilités dans Microsoft Edge
• CERTFR-2021-AVI-462 : Multiples vulnérabilités dans Apple iOS
• CERTFR-2021-AVI-463 : Vulnérabilité dans les produits SonicWall
• CERTFR-2021-AVI-464 : Vulnérabilité dans Trend Micro InterScan Web Security Virtual Appliance
• CERTFR-2021-AVI-465 : Vulnérabilité dans les produits Qnap
• CERTFR-2021-AVI-466 : Multiples vulnérabilités dans les produits Tenable
• CERTFR-2021-AVI-467 : Multiples vulnérabilités dans les produits IBM
• CERTFR-2021-AVI-468 : Vulnérabilité dans Mozilla Firefox
• CERTFR-2021-AVI-469 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2021-AVI-470 : Multiples vulnérabilités dans les produits Cisco
• CERTFR-2021-AVI-471 : Multiples vulnérabilités dans les produits IBM
• CERTFR-2021-AVI-472 : Vulnérabilité dans VMware Tools
• CERTFR-2021-AVI-473 : Multiples vulnérabilités dans Google Chrome
• CERTFR-2021-AVI-474 : Multiples vulnérabilités dans les produits IBM

Durant la même période, les publications suivantes ont été mises à jour :

• CERTFR-2021-AVI-350 : Multiples vulnérabilités dans les produits Cisco