Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Suivi des alertes
CVE-2021-26084 : Vulnérabilité dans Atlassian Confluence Server et Data Center
Le 25 août 2021, l'éditeur a publié un avis de sécurité annonçant la correction d'une vulnérabilité critique dans sa solution Confluence. Dans son avis initial, l'éditeur indiquant que cette vulnérabilité permettait, dans certaines circonstances, à un attaquant d'exécuter du code arbitraire à distance sans être authentifié.Le 3 septembre 2021, l'éditeur a corrigé son avis afin d'indiquer qu'un attaquant pouvait exploiter cette vulnérabilité sans être authentifié, quelle que soit la configuration du serveur.
Des codes d'exploitation ont rapidement été rendus publiques et l'éditeur, ainsi que d'autres sources, indiquent qu'elle est activement exploitée. Suite aux évolutions de contexte concernant cette vulnérabilité, le CERT-FR a publié une alerte.
Liens :
- https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
- /alerte/CERTFR-2021-ALE-018/
- /avis/CERTFR-2021-AVI-677/
CVE-2021-40444 : Vulnérabilité dans Microsoft Windows
Le 07 septembre Microsoft a publié un avis de sécurité concernant la vulnérabilité CVE-2021-40444. Celle-ci permet à un attaquant d'exécuter du code arbitraire à distance si un utilisateur ouvre un document Office piégé. Toutefois, tant que le document est ouvert en mode protégé (Protected View), la vulnérabilité ne peut se déclencher.Cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Comme certains samples sont déjà disponibles, le CERT-FR anticipe la disponibilité imminent de codes d'exploitations publiques.
Microsoft n'a pas encore annoncé la date de disponibilité d'un correctif. Toutefois l'éditeur a proposé une solution de contournement.
Liens :
Autres vulnérabilités
Vulnérabilité dans GhostScript
Le 05 septembre 2021, un chercheur a publié une preuve de concept de code exploitant une vulnérabilité de GhostScript 9.50. Le chercheur annonce que ce code fonctionne avec les réglages par défaut d'ImageMagick sur Ubuntu 20.04.
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.