Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 16

Tableau récapitulatif :

Vulnérabilités critiques du 15/04/24 au 21/04/24
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Oracle Oracle WebLogic Server CVE-2021-23369 9.8 Exécution de code arbitraire à distance 18/04/2024Pas d'informationCERTFR-2024-AVI-0323https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Oracle WebLogic Server, PeopleSoft Enterprise HCM Global Payroll, Oracle Solaris Cluster, Oracle StorageTek Tape Analytics CVE-2022-42920 9.8 Exécution de code arbitraire à distance 18/04/2024Pas d'informationCERTFR-2024-AVI-0324https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Oracle PeopleSoft Enterprise PeopleTools CVE-2023-38545 9.8 Non spécifié par l'éditeur 18/04/2024Pas d'informationCERTFR-2024-AVI-0325https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Oracle Oracle StorageTek Tape Analytics CVE-2022-34381 9.8 Exécution de code arbitraire à distance 18/04/2024Pas d'informationCERTFR-2024-AVI-0324https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Oracle Oracle StorageTek Tape Analytics CVE-2020-35168 9.8 Exécution de code arbitraire à distance 18/04/2024Pas d'informationCERTFR-2024-AVI-0324https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Cisco Cisco Integrated Management Controller CVE-2024-20295 8.8 Contournement de la politique de sécurité 18/04/2024Preuve de concept disponibleCERTFR-2024-AVI-0319https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ
Cisco Cisco Integrated Management Controller CVE-2024-20356 8.7 Contournement de la politique de sécurité 18/04/2024Preuve de concept disponibleCERTFR-2024-AVI-0319https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ
IBM Qradar Analyst Workflow CVE-2023-42282 9.8 Exécution de code arbitraire à distance 19/04/2024Pas d'informationCERTFR-2024-AVI-0330https://www.ibm.com/support/pages/node/7148190
Ivanti Avalanche CVE-2024-29204 9.8 Exécution de code arbitraire à distance 17/04/2024Preuve de concept disponibleCERTFR-2024-AVI-0314https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US
Ivanti Avalanche CVE-2024-24996 9.8 Exécution de code arbitraire à distance 17/04/2024Pas d'informationCERTFR-2024-AVI-0314https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US

Rappel des alertes CERT-FR

CVE-2024-3400 : Vulnérabilité dans Palo Alto Networks GlobalProtect

Le 12 avril 2024, Palo Alto Networks a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-3400 affectant le produit GlobalProtect. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. La vulnérabilité est activement exploitée et des preuves de concept sont disponibles publiquement. Des versions correctives ont été publiées par l'éditeur. De plus, le CERT-FR fournit des éléments de remédiation.

Autres vulnérabilités

CVE-2024-31497 : Vulnérabilité dans PuTTY

Le 15 avril 2024, les détails relatifs à la vulnérabilité CVE-2024-31497 affectant le logiciel PuTTY ont été publiés. Cette vulnérabilité concerne la génération de nombres aléatoires utilisés dans le cadre des algorithmes ECDSA NIST P-521. Cette génération biaisée peut provoquer la récupération de clés secrètes à partir d'une soixantaine de signatures. Les autres algorithmes ne sont pas affectés.

La version 0.81 de PuTTY corrige cette vulnérabilité. De plus, les versions suivantes des logiciels utilisant PuTTY ont également été publiées : FileZilla 3.67.0, WinSCP 6.3.3 et TortoiseGit 2.15.0.1.

Liens :

Vulnérabilité dans CrushFTP

Le 19 avril 2024, CrushFTP a déclaré que les versions logicielles antérieures à 11.1 souffrent d'une vulnérabilité permettant de contourner la politique de sécurité et de télécharger des fichiers de configuration du système.

Lien :

 


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 15 avril 2024 au 21 avril 2024, le CERT-FR a émis les publications suivantes :


Dans la période du 15 avril 2024 au 21 avril 2024, le CERT-FR a mis à jour les publications suivantes :