Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 16
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Oracle | Oracle WebLogic Server | CVE-2021-23369 | 9.8 | Exécution de code arbitraire à distance | 18/04/2024 | Pas d'information | CERTFR-2024-AVI-0323 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
Oracle | WebLogic Server, PeopleSoft Enterprise HCM Global Payroll, Oracle Solaris Cluster, Oracle StorageTek Tape Analytics | CVE-2022-42920 | 9.8 | Exécution de code arbitraire à distance | 18/04/2024 | Pas d'information | CERTFR-2024-AVI-0324 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
Oracle | PeopleSoft Enterprise PeopleTools | CVE-2023-38545 | 9.8 | Non spécifié par l'éditeur | 18/04/2024 | Pas d'information | CERTFR-2024-AVI-0325 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
Oracle | Oracle StorageTek Tape Analytics | CVE-2022-34381 | 9.8 | Exécution de code arbitraire à distance | 18/04/2024 | Pas d'information | CERTFR-2024-AVI-0324 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
Oracle | Oracle StorageTek Tape Analytics | CVE-2020-35168 | 9.8 | Exécution de code arbitraire à distance | 18/04/2024 | Pas d'information | CERTFR-2024-AVI-0324 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
Cisco | Cisco Integrated Management Controller | CVE-2024-20295 | 8.8 | Contournement de la politique de sécurité | 18/04/2024 | Preuve de concept disponible | CERTFR-2024-AVI-0319 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ |
Cisco | Cisco Integrated Management Controller | CVE-2024-20356 | 8.7 | Contournement de la politique de sécurité | 18/04/2024 | Preuve de concept disponible | CERTFR-2024-AVI-0319 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ |
IBM | Qradar Analyst Workflow | CVE-2023-42282 | 9.8 | Exécution de code arbitraire à distance | 19/04/2024 | Pas d'information | CERTFR-2024-AVI-0330 | https://www.ibm.com/support/pages/node/7148190 |
Ivanti | Avalanche | CVE-2024-29204 | 9.8 | Exécution de code arbitraire à distance | 17/04/2024 | Preuve de concept disponible | CERTFR-2024-AVI-0314 | https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US |
Ivanti | Avalanche | CVE-2024-24996 | 9.8 | Exécution de code arbitraire à distance | 17/04/2024 | Pas d'information | CERTFR-2024-AVI-0314 | https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US |
Rappel des alertes CERT-FR
CVE-2024-3400 : Vulnérabilité dans Palo Alto Networks GlobalProtect
Le 12 avril 2024, Palo Alto Networks a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-3400 affectant le produit GlobalProtect. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. La vulnérabilité est activement exploitée et des preuves de concept sont disponibles publiquement. Des versions correctives ont été publiées par l'éditeur. De plus, le CERT-FR fournit des éléments de remédiation.- Alerte CERTFR-2024-ALE-006
- Avis CERTFR-2024-AVI-0307
- https://security.paloaltonetworks.com/CVE-2024-3400
Autres vulnérabilités
CVE-2024-31497 : Vulnérabilité dans PuTTY
Le 15 avril 2024, les détails relatifs à la vulnérabilité CVE-2024-31497 affectant le logiciel PuTTY ont été publiés. Cette vulnérabilité concerne la génération de nombres aléatoires utilisés dans le cadre des algorithmes ECDSA NIST P-521. Cette génération biaisée peut provoquer la récupération de clés secrètes à partir d'une soixantaine de signatures. Les autres algorithmes ne sont pas affectés.La version 0.81 de PuTTY corrige cette vulnérabilité. De plus, les versions suivantes des logiciels utilisant PuTTY ont également été publiées : FileZilla 3.67.0, WinSCP 6.3.3 et TortoiseGit 2.15.0.1.
Liens :
- https://www.openwall.com/lists/oss-security/2024/04/15/6
- https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html
Vulnérabilité dans CrushFTP
Le 19 avril 2024, CrushFTP a déclaré que les versions logicielles antérieures à 11.1 souffrent d'une vulnérabilité permettant de contourner la politique de sécurité et de télécharger des fichiers de configuration du système.Lien :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.