Bulletin d’actualité CERTFR-2022-ACT-049

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 45

Tableau récapitulatif :

Vulnérabilités critiques du 07/11/22 au 13/11/22

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
SAP	SAPUI5 et SAPUI5 CLIENT RUNTIME (SQLite)	CVE-2022-35737	9.8	Exécution de code arbitraire à distance	08/11/2022	Preuve de concept publiquement disponible	CERTFR-2022-AVI-1020	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09
SAP	SAPUI5 et SAPUI5 CLIENT RUNTIME (SQLite)	CVE-2021-20223	9.8	Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1020	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09
SAP	BusinessObjects Business Intelligence Platform	CVE-2022-41203	9.9	Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1020	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09
Python	Python 3 (module _sha3)	CVE-2022-37454	9.8	Exécution de code arbitraire à distance	07/11/2022	Pas d'information	CERTFR-2022-AVI-996	https://python-security.readthedocs.io/vuln/sha3-buffer-overflow.html#timeline
IBM	IBM Tivoli Monitoring (libexpat)	CVE-2022-40674	9.8	Exécution de code arbitraire à distance	07/11/2022	Pas d'information	CERTFR-2022-AVI-997/	https://www.ibm.com/support/pages/node/6837645
Siemens	POWER METER SICAM	CVE-2022-43439	9.9	Déni de service à distance, Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-570294.html
Siemens	POWER METER SICAM	CVE-2022-43545	9.9	Déni de service à distance, Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-570294.html
Siemens	POWER METER SICAM	CVE-2022-43546	9.9	Déni de service à distance, Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-570294.html
Siemens	SIMATIC, SINUMERIK	CVE-2022-38465	9.3	Atteinte à la confidentialité des données	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-568428.html
Siemens	SCALANCE (PAPI UDP)	CVE-2022-37885	9.8	Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens	SCALANCE (PAPI UDP)	CVE-2022-37886	9.8	Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens	SCALANCE (PAPI UDP)	CVE-2022-37887	9.8	Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens	SCALANCE (PAPI UDP)	CVE-2022-37888	9.8	Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens	SCALANCE (PAPI UDP)	CVE-2022-37889	9.8	Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens	SCALANCE (web management interface)	CVE-2022-37890	9.8	Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens	SCALANCE (web management interface)	CVE-2022-37891	9.8	Exécution de code arbitraire à distance	08/11/2022	Pas d'information	CERTFR-2022-AVI-1001	https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Veeam	Veeam Backup pour Google Cloud	CVE-2022-43549	10	Contournement de la politique de sécurité	08/11/2022	Pas d'information	CERTFR-2022-AVI-1003	https://www.veeam.com/kb4374
Grafana	Grafana	CVE-2022-39328	9.8	Élévation de privilèges	09/11/2022	Pas d'information	CERTFR-2022-AVI-1006	https://github.com/grafana/grafana/security/advisories/GHSA-vqc4-mpj8-jxch
Vmware	VMware Workspace ONE Assist (Assist)	CVE-2022-31686	9.8	Contournement de la politique de sécurité	09/11/2022	Pas d'information	CERTFR-2022-AVI-1008	https://www.vmware.com/security/advisories/VMSA-2022-0028.html
Vmware	VMware Workspace ONE Assist (Assist)	CVE-2022-31687	9.8	Contournement de la politique de sécurité	09/11/2022	Pas d'information	CERTFR-2022-AVI-1008	https://www.vmware.com/security/advisories/VMSA-2022-0028.html
Vmware	VMware Workspace ONE Assist (Assist)	CVE-2022-31685	9.8	Contournement de la politique de sécurité	09/11/2022	Pas d'information	CERTFR-2022-AVI-1008	https://www.vmware.com/security/advisories/VMSA-2022-0028.html
Microsoft	Exchange	CVE-2022-41082	8.8	Exécution de code arbitraire à distance	08/11/2022	Exploitée	CERTFR-2022-AVI-876	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
Microsoft	Exchange	CVE-2022-41040	8.8	Exécution de code arbitraire à distance	08/11/2022	Exploitée	CERTFR-2022-AVI-876	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
Microsoft	Windows Print Spooler	CVE-2022-41073	7.8	Élévation de privilèges	08/11/2022	Exploitée	CERTFR-2022-AVI-1012	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41073
Microsoft	Windows CNG Key	CVE-2022-41125	7.8	Élévation de privilèges	08/11/2022	Exploitée	CERTFR-2022-AVI-1012	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41125
Microsoft	Windows Scripting Languages (IE)	CVE-2022-41128	8.8	Exécution de code arbitraire à distance	08/11/2022	Exploitée	CERTFR-2022-AVI-1012	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128
Microsoft	Windows Mark of the Web (MOTW)	CVE-2022-41091	5.4	Contournement de la politique de sécurité	08/11/2022	Exploitée	CERTFR-2022-AVI-1012	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41091

Rappel des publications émises

Dans la période du 07 novembre 2022 au 13 novembre 2022, le CERT-FR a émis les publications suivantes :

CERTFR-2022-AVI-1000 : Multiples vulnérabilités dans les produits Schneider
CERTFR-2022-AVI-1001 : Multiples vulnérabilités dans les produits Siemens
CERTFR-2022-AVI-1002 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2022-AVI-1003 : Vulnérabilité dans Veeam Backup
CERTFR-2022-AVI-1004 : Vulnérabilité dans Joomla
CERTFR-2022-AVI-1005 : Multiples vulnérabilités dans les produits Citrix
CERTFR-2022-AVI-1006 : Multiples vulnérabilités dans Grafana
CERTFR-2022-AVI-1007 : Multiples vulnérabilités dans Google Chrome
CERTFR-2022-AVI-1008 : Multiples vulnérabilités dans VMware Workspace ONE Assist
CERTFR-2022-AVI-1009 : Multiples vulnérabilités dans les produits Intel
CERTFR-2022-AVI-1011 : Multiples vulnérabilités dans Microsoft Office
CERTFR-2022-AVI-1012 : Multiples vulnérabilités dans Microsoft Windows
CERTFR-2022-AVI-1013 : Vulnérabilité dans Microsoft .Net
CERTFR-2022-AVI-1014 : Multiples vulnérabilités dans Microsoft Azure
CERTFR-2022-AVI-1015 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2022-AVI-1016 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2022-AVI-1017 : Vulnérabilité dans Python 3
CERTFR-2022-AVI-1018 : Vulnérabilité dans Xen
CERTFR-2022-AVI-1019 : Multiples vulnérabilités dans Tenable Nessus
CERTFR-2022-AVI-1020 : Multiples vulnérabilités dans les produits SAP
CERTFR-2022-AVI-1021 : Multiples vulnérabilités dans TrendMicro Apex One
CERTFR-2022-AVI-1022 : Multiples vulnérabilités dans les produits Cisco
CERTFR-2022-AVI-1023 : Vulnérabilité dans Palo Alto Networks Cortex XSOAR
CERTFR-2022-AVI-1024 : Multiples vulnérabilités dans les produits Apple
CERTFR-2022-AVI-1025 : Multiples vulnérabilités dans IBM QRadar
CERTFR-2022-AVI-996 : Vulnérabilité dans Python 3
CERTFR-2022-AVI-997 : Multiples vulnérabilités dans IBM Tivoli
CERTFR-2022-AVI-998 : Multiples vulnérabilités dans Android
CERTFR-2022-AVI-999 : Multiples vulnérabilités dans Foxit PDF

Dans la période du 07 novembre 2022 au 13 novembre 2022, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2022-ALE-008 : [MaJ] Multiples vulnérabilités dans Microsoft Exchange

Référence	CERTFR-2022-ACT-049
Titre	Bulletin d’actualité CERTFR-2022-ACT-049
Date de la première version	14 novembre 2022
Date de la dernière version	14 novembre 2022
Source(s)
Pièce(s) jointe(s)	Aucune(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2022-ACT-049

Gestion du document

Vulnérabilités significatives de la semaine 45

Tableau récapitulatif :

Rappel des publications émises

Gestion détaillée du document