S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 mai 2022
N° CERTFR-2022-ACT-018
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2022-ACT-018

Gestion du document

Référence CERTFR-2022-ACT-018
Titre Bulletin d’actualité CERTFR-2022-ACT-018
Date de la première version02 mai 2022
Date de la dernière version04 mai 2022
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

 

Vulnérabilités significatives de la semaine 18

Tableau récapitulatif :

Vulnérabilités critiques du 25/04/22 au 01/05/22

Editeur Produit Identifiant CVE Score CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
 CIRCL MISP CVE-2022-29528 9.8 Exécution de code arbitraire à distance 20/04/2022 Pas d'information /avis/CERTFR-2022-AVI-394/ https://www.misp-project.org/security/#advisories

Vulnérabilités antérieures

CVE-2022-1162 et CVE-2022-1175 : Multiples vulnérabilités dans GitLab

Le 31 mars 2022, GitLab a publié un avis concernant la vulnérabilité critique CVE-2022-1162. Un mot de passe en dur était utilisé dans le cadre d'OmniAuth, une bibliothèque visant à standardiser l'authentification par plusieurs fournisseurs. Ce mot de passe est désormais publique.

La vulnérabilité CVE-2022-1175 permet une injection de code indirecte à distance (XSS). Une preuve de concept est également disponible publiquement.

Liens :

CVE-2021-22054 : Vulnérabilité dans VMWare Workspace One UEM

Le 16 décembre 2021, l'éditeur a corrigé la vulnérabilité critique CVE-2021-22054 (CVSSv3 9,1) permettant à un attaquant de réaliser une exécution de code arbitraire à distance. Le 27 avril 2022, le chercheur qui a trouvé cette vulnérabilité a publié ses travaux en incluant une preuve de concept.

Le CERT-FR en profite pour rappeler que la vulnérabilité CVE-2022-22954 est activement exploitée. Celle-ci affecte VMWare Workspace One Access et son score CVSSv3 est de 9,8.

Liens :

CVE-2022-0543 : Vulnérabilité dans Redis

Des codes d'exploitation sont publiquement disponibles pour la vulnérabilité CVE-2022-0543. Cette vulnérabilité affecte les paquets Debian de Redis et permet une exécution de code arbitraire à distance.

Liens :

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 25 avril 2022 au 01 mai 2022, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 02 mai 2022
    Version initiale
    le 04 mai 2022
    Correction d'une erreur dans la date du tableau récapitulatif.