Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 3
CVE-2022-21306, CVE-2021-22931 : Vulnérabilité dans Oracle WebLogic Server et Oracle PeopleSoft
Dans le cadre de son patch quadrimestriel, Oracle a publié 497 correctifs de sécurité sur divers produits. Plusieurs vulnérabilités critiques, ayant un score CVSSv3 supérieur à 9, ont été corrigées dont les vulnérabilités immatriculées CVE-2022-21306 et CVE-2021-22931.La vulnérabilité CVE-2022-21306 dispose d'un score CVSSv3 de 9.8 et permet à un attaquant non authentifié de prendre le contrôle à distance du produit Oracle WebLogic Server qui est un composant d'Oracle Fusion Middleware. Cependant l'attaquant, pour pouvoir exploiter la vulnérabilité, doit accéder au produit WebLogic Server depuis le protocole T3 qui est utilisé normalement dans le cadre des échanges entre les applications Java et ce produit.
La vulnérabilité CVE-2021-22931 dispose aussi d'un score de 9.8. Elle est due à une mauvaise vérification des noms d'hôte renvoyés par les serveurs de noms de domaine dans la bibliothèque DNS de Node.js. Plusieurs produits Oracle utilisent Node.js, l'éditeur a d'ailleurs déjà corrigé cette vulnérabilité dans sa mise à jour quadrimestrielle d’octobre 2021 pour les produits Oracle Mysql et Oracle GraalVM. Elle est maintenant corrigée dans cette nouvelle mise à jour pour le produit PeopleSoft Enterprise PeopleTools. Pour ce dernier, cette vulnérabilité permet à un attaquant non authentifié d'en prendre le contrôle à distance.
Le CERT-FR ne suivant pas l'intégralité des produits Oracle, nous vous recommandons de vous référer à l'avis éditeur pour identifier les vulnérabilités des produits que vous pourriez utiliser.
Liens :
- /avis/CERTFR-2022-AVI-056/
- /avis/CERTFR-2022-AVI-053/
- https://www.oracle.com/security-alerts/cpujan2022.html#AppendixFMW
- https://www.oracle.com/security-alerts/cpujan2022.html#AppendixPS
CVE-2022-0289 : Vulnérabilité dans Google Chrome et Microsoft Edge
Le 19 janvier 2022, Google a publié 26 correctifs de sécurité pour le produit Google Chrome. Une vulnérabilité, immatriculée CVE-2022-0289, est considérée comme critique par l'éditeur et permet à un attaquant de pouvoir réaliser une utilisation d’une donnée en mémoire après sa libération(use after free).Microsoft Edge, basé sur Chromium, est aussi affecté par 26 vulnérabilités. Microsoft a donc publié le 20 janvier 2022 des correctifs de sécurité pour son produit.
Liens :
- /avis/CERTFR-2022-AVI-057/
- /avis/CERTFR-2022-AVI-068/
- https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop_19.html
- https://msrc.microsoft.com/update-guide/
CVE-2022-20648 : Vulnérabilité dans Cisco RCM pour StarOS
Le 19 janvier 2022, l'éditeur a publié un correctif pour deux vulnérabilités découvertes par les équipes internes de Cisco qui affectent le produit Cisco RCM (Redundancy Configuration Manager) pour StarOS. Une de ces vulnérabilités, la vulnérabilité CVE-2022-20648, dispose d'un score CVSSv3 de 9.0 sur 10 et permet à un attaquant non authentifié de réaliser une exécution de code arbitraire à distance avec les privilèges de l'utilisateur root dans le contexte du conteneur configuré. Cette vulnérabilité est due au mode débogage qui n'est pas activé correctement sur des produits spécifiques. Un attaquant pourrait ainsi exploiter cette vulnérabilité en se connectant au produit et en accédant au service avec le mode débogage activé. Aucune exploitation de cette vulnérabilité n'est connue par l'éditeur.Liens :
- /avis/CERTFR-2022-AVI-060/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rcm-vuls-7cS3Nuq
Alertes CERT-FR
CVE-2022-21907 : Vulnérabilité dans Microsoft Windows
Le 17 janvier 2022, l'éditeur a publié une mise à jour exceptionnelle afin de corriger plusieurs dysfonctionnements importants pouvant être rencontrés lors de l'installation des mises à jour liées au Patch Tuesday de janvier. Ces mises à jour sont accessibles directement sur le catalogue Microsoft Update. Se référer à l’alerte pour plus d’information.La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.