Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 17

Tableau récapitulatif :

Vulnérabilités critiques du 18/04/22 au 22/04/22
Editeur Produit Identifiant CVE Score CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Atlassian Jira CVE-2022-0540 9.9 Contournement de la politique de sécurité 21/04/2022 Pas d'information CERTFR-2022-AVI-382 https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html
Grafana Enterprise CVE-2022-24812 8.8 Élévation de privilèges 21/04/2022 Pas d'information CERTFR-2022-AVI-378 https://grafana.com/blog/2022/04/12/grafana-enterprise-8.4.6-released-with-high-severity-security-fix/
Microsoft Windows CVE-2022-22718 7.8 Élévation de privilèges 21/04/2022 Exploitée CERTFR-2022-AVI-130 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22718
Oracle Java SE, GraalVM Enterprise Edition CVE-2022-21449 7.5 Atteinte à l'intégrité des données, atteinte à la confidentialité des données 21/04/2022 Oui CERTFR-2022-AVI-364 https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA
Oracle Solaris Cluster CVE-2019-17195 9.8 Déni de service à distance 20/04/2022 Pas d'information CERTFR-2022-AVI-367 https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixSUNS
Oracle JDeveloper CVE-2022-21445 9.8 Exécution de code arbitraire à distance 20/04/2022 Pas d'information CERTFR-2022-AVI-369 https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixFMW
Oracle Fusion (Coherence Core protocole T3) CVE-2022-21420 9.8 Exécution de code arbitraire à distance 20/04/2022 Pas d'information CERTFR-2022-AVI-369 https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixFMW
Oracle MySQL CVE-2022-23305 9.8 Exécution de code arbitraire à distance 20/04/2022 Pas d'information CERTFR-2022-AVI-369 https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixMSQL
Tenable Tenable.sc CVE-2021-41116 9.8 Exécution de code arbitraire à distance 21/04/2022 Pas d'information CERTFR-2022-AVI-370 https://www.tenable.com/security/tns-2022-09
Google Chrome pour Windows, Mac et Linux CVE-2022-1364 Pas d'information Élévation de privilèges 18/04/2022 Exploitée CERTFR-2022-AVI-355 https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html

CVE-2022-21449 : Vulnérabilité dans Oracle java SE et Oracle GraalVM Enterprise Edition

Le 19 avril 2022, lors de la publication de son avis trimestriel concernant les mises à jour critiques, l'éditeur a déclaré une vulnérabilité affectant les produits Oracle Java SE et Oracle GraalVM Enterprise Edition. La vulnérabilité est identifiée par l'identifiant CVE-2022-21449 et a un score CVSSv3 de 7.5.

Une faiblesse dans l'implémentation de l'algorithme de vérification d'une signature de type elliptic curve digital signature algorithm ou ECDSA permet à un attaquant distant de compromettre l'intégrité et la confidentialité des données transitant vers une machine virtuelle Java. L'attaquant peut alors intercepter et altérer des communications chiffrées, par exemple, via TLS, et à destination de processus d'authentification ou de gestion des accès utilisant ECDSA, comme des objets JWT signés, des assertions SAML, des périphériques WebAuthn/FIDO, etc.

La vulnérabilité concerne les produits Oracle Java SE versions 15, 17.0.2 et 18 ainsi que les produits Oracle GraalVM Enterprise Edition versions 21.3.1 et 22.0.0.2.

Une preuve de concept est disponible sur internet.

Le CERT-FR encourage fortement la mise à jour des environnements Java à la dernière version proposée par l'éditeur.

Liens :

CVE-2022-0540 : Vulnérabilité dans Atlassian Jira

Le 21 avril 2022, l'éditeur a déclaré une vulnérabilité dans les produits Jira et Jira Service Management. La vulnérabilité, identifiée CVE-2022-0540, a un score CVSSv3 de 9.9. Elle permet à un attaquant distant de contourner la politique de sécurité mise en place au travers de Seraph, le cadriciel de sécurité déployé sur les produits Jira et Confluence pour gérer les demandes de connexion et de déconnexion des utilisateurs.

L'éditeur précise que la vulnérabilité peut être exploitée dans une configuration spécifique de Seraph. Cette vulnérabilité peut aussi ne pas avoir d'impact en fonction des applications installées, leur modèle de sécurité pouvant compléter celui de Seraph.

À cet effet, Atlassian a publié une liste de questions fréquentes concernant la vulnérabilité. Se référer au bulletin de sécurité Atlassian FAQ 1123193843 du 20 avril 2022.

Liens :

CVE-2022-22718 : Vulnérabilité dans le spouleur d'impression de Microsoft Windows

Le 8 février 2022, lors de sa campagne mensuelle de corrections de vulnérabilités (patch tuesday), l'éditeur a publié un avis concernant la vulnérabilité CVE-2022-22718. Elle a un score CVSSv3 de 7.8 et concerne le service d'impression de Windows. Cette vulnérabilité permet à un attaquant local de tenter une élévation de privilèges.

Cette vulnérabilité fait l'objet d'une exploitation active. Une preuve de concept a été publiée sur internet.

L'installation des mises à jour du patch tuesday de février 2022 a amené divers conflits pouvant entraîner un retrait potentiel du correctif concernant cette vulnérabilité. Il est important de vérifier que ce correctif est bien déployé sur les envrionnements concernés.

Pour rappel, 15 vulnérabilités ont été corrigées dans le spouleur d'impression du système d'exploitation Windows avec le patch tuesday d'avril 2022.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 18 avril 2022 au 24 avril 2022, le CERT-FR a émis les publications suivantes :


Dans la période du 18 avril 2022 au 24 avril 2022, le CERT-FR a mis à jour les publications suivantes :