Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 44
Tableau récapitulatif :
Vulnérabilités critiques du 31/10/2022 au 06/11/2022
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Debian | Debian 10 buster | CVE-2022-3649 | 9.8 | Exécution de code arbitraire à distance | 01/11/2022 | Pas d’information | CERTFR-2022-AVI-984 | https://www.debian.org/lts/security/2022/dla-3173 |
PHP | PHP | CVE-2022-37454 | 9.8 | Exécution de code arbitraire à distance | 27/10/2022 | Pas d’information | CERTFR-2022-AVI-971 | https://www.php.net/ChangeLog-8.php#8.0.25 |
Python | Python | CVE-2022-37454 | 9.8 | Exécution de code arbitraire à distance | 05/11/2022 | Pas d’information | CERTFR-2022-AVI-996 | https://www.php.net/ChangeLog-8.php#8.0.25 |
NetApp | SnapCenter | CVE-2022-33980 | 9.8 | Exécution de code arbitraire à distance | 28/10/2022 | Pas d’information | CERTFR-2022-AVI-969 | https://security.netapp.com/advisory/ntap-20221028-0015/ |
Autres Vulnérabilités
CVE-2022-3602, CVE-2022-3786 : Vulnérabilités dans OpenSSL
Les deux vulnérabilités, référencées CVE-2022-3786 et CVE-2022-3602, permettent des dépassements de tampon dans la fonctionnalité de décodage du punycode introduite pour la première fois en septembre 2021 dans OpenSSL 3.0.0. De nombreuses plateformes mettent en œuvre des protections contre le débordement de la pile, ce qui atténue le risque d’exécution de code à distance.
Initialement, la vulnérabilité CVE-2022-3602 était annoncée comme critique, mais une analyse plus approfondie basée sur certains des facteurs d’atténuation décrits ci-dessus a conduit à une évaluation à la baisse de son niveau de criticité.
Le CERT-FR encourage fortement de mettre à jour à la dernière version de OpenSSL proposée par l’éditeur.
Liens :
- https://www.openssl.org/news/secadv/20221101.txt
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-985/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 31 octobre au 06 novembre 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-969 : Vulnérabilité dans les produits NetApp
- CERTFR-2022-AVI-970 : Vulnérabilité dans Nextcloud Server
- CERTFR-2022-AVI-971 : Multiples vulnérabilités dans PHP
- CERTFR-2022-AVI-972 : Vulnérabilité dans Azure CLI
- CERTFR-2022-AVI-973 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2022-AVI-974 : Multiples vulnérabilités dans Xen
- CERTFR-2022-AVI-975 : Vulnérabilité dans Apache Tomcat
- CERTFR-2022-AVI-976 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-977 : Multiples vulnérabilités dans Citrix Hypervisor
- CERTFR-2022-AVI-978 : Multiples vulnérabilités dans VMware Spring
- CERTFR-2022-AVI-979 : [SCADA] Vulnérabilité dans Belden Industrial HiVision
- CERTFR-2022-AVI-980 : Vulnérabilité dans Microsoft Edge
- CERTFR-2022-AVI-981 : Multiples vulnérabilités dans les produits Foxit
- CERTFR-2022-AVI-982 : Multiples vulnérabilités dans les produits Kaspersky
- CERTFR-2022-AVI-983 : Multiples vulnérabilités dans Apple Xcode
- CERTFR-2022-AVI-984 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
- CERTFR-2022-AVI-985 : Multiples vulnérabilités dans OpenSSL
- CERTFR-2022-AVI-986 : Multiples vulnérabilités dans Splunk
- CERTFR-2022-AVI-987 : Multiples vulnérabilités dans GitLab
- CERTFR-2022-AVI-988 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2022-AVI-989 : Multiples vulnérabilités dans les produits Tenable
- CERTFR-2022-AVI-990 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2022-AVI-991 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2022-AVI-992 : Multiples vulnérabilités dans PHP
- CERTFR-2022-AVI-993 : Multiples vulnérabilités dans Tenable Nessus
- CERTFR-2022-AVI-994 : Multiples vulnérabilités dans VMware Spring
- CERTFR-2022-AVI-995 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-AVI-896 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric