Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 43
Tableau récapitulatif :
Vulnérabilités critiques du 23/10/23 au 29/10/23
Alertes CERT-FR
CVE-2023-20198, CVE-2023-20273 : Multiples vulnérabilités affectant Cisco IOS XE
Le 16 et le 22 octobre 2023, Cisco a publié et mis à jour son avis de sécurité concernant les vulnérabilités CVE-2023-20198 et CVE-2023-20273 affectant l'interface Web de gestion d'IOS XE (webui). Ces deux vulnérabilités sont activement exploitées. L'éditeur a mis à jour son avis afin d'indiquer la mise à disposition de correctifs de sécurité dans les versions 17.9.4a, 17.6.6a et 16.12.10a d'IOS XE.Liens :
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
- /alerte/CERTFR-2023-ALE-011/
CVE-2023-4966 : Vulnérabilité affectant Citrix NetScaler ADC et NetScaler Gateway
Le 10 octobre 2023, Citrix a publié un avis de sécurité concernant la vulnérabilité CVE-2023-4966 affectant les produits NetScaler ADC et NetScaler Gateway. L'éditeur lui a donné un score CVSSv3 de 9.4 et a indiqué qu'elle permet une atteinte à la confidentialité des données. L'exploitation active de cette vulnérabilité a été confirmée par l'éditeur le 17 octobre 2023. Le 24 octobre 2023, des chercheurs ont publié des détails techniques sur la vulnérabilité. Des codes d'exploitation sont désormais disponibles sur Internet.Liens :
- https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
- /alerte/CERTFR-2023-ALE-012/
Autres vulnérabilités
CVE-2023-46604 : Vulnérabilité affectant Apache ActiveMQ
Le 27 octobre 2023, Apache Software Foundation a publié un avis de sécurité afin d'annoncer la correction d'une vulnérabilité permettant, in fine, d'exécuter du code arbitraire sur le serveur (broker) en manipulant des types de classes sérialisées dans le protocole OpenWire.Apache a attribué un score CVSSv3 de 10 pour cette vulnérabilité CVE-2023-46604.
Liens :
CVE-2023-22074 : Vulnérabilité affectant Oracle Database Server
Le 18 octobre 2023, Oracle a corrigé une vulnérabilité permettant à un attaquant authentifié et avec de haut privilège de compromettre le composant Oracle Database Sharding. Par ce biais, un attaquant peut réaliser un déni de service partiel du composant.Des codes d'exploitation sont disponibles sur Internet pour cette vulnérabilité.
Liens :
CVE-2023-32707 : Vulnérabilité affectant Splunk
Le 1 juin 2023, l'éditeur a corrigé une vulnérabilité dans Splunk permettant à un attaquant authentifié de réaliser une élévation de privilèges afin de disposer de droits administrateur.Des codes d'exploitation sont désormais disponibles sur Internet.
Liens :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
