Alertes de sécurité

Le CERT-FR a publié un avis concernant la CVE-2019-11043 qui affecte PHP et permet l'exécution de code arbitraire à distance. Un code d'exploitation est maintenant disponible sur internet, facilitant l'utilisation de cette vulnérabilité. Ce code d'exploitation nécessite une configuration...

Le 13 août 2019, lors de la publication mensuelle de ses correctifs, Microsoft a corrigé plusieurs vulnérabilités affectant les services de bureau à distance (Remote Desktop Services, RDS). Parmi les failles corrigées, quatre d'entre elles, critiques, permettent une exécution de code arbitraire...

[Mise à jour du 22 mai 2019 : Informations complémentaires et situation] [Mise à jour du 23 mai 2019 : Informations sur la publication d'un correctif pour Windows Vista] Le 14 mai 2019, lors de sa mise à jour mensuelle, Microsoft a publié un correctif pour une vulnérabilité identifiée comme...

Le 23 septembre 2019, Microsoft a publié un correctif pour Internet Explorer en dehors de son cycle de mise à jour mensuel. Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. La vulnérabilité CVE-2019-1367 permet à un attaquant d'exécuter du code...

Depuis début mai 2019, des campagnes d'attaques ciblées exploitant la vulnérabilité CVE-2019-0604 sont rapportées publiquement. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire à distance en exploitant une faille de dé-sérialisation dans les serveurs SharePoint par l'envoi...

Le 18 juin 2019, l'éditeur Mozilla a publié un avis de sécurité annonçant la mise à disposition d'un correctif de sécurité pour son navigateur Firefox. Ce dernier est affecté par une vulnérabilité de confusion de type pouvant mener à une exécution de code arbitraire à distance. L'avis de sécurité...

Le CERT-FR a connaissance de cas d'exploitation de la vulnérabilité CVE-2019-10149 qui affecte Exim et permet une exécution de commande arbitraire à distance. Cette vulnérabilité est triviale à exploiter, d'autant plus que du code d'attaque est disponible publiquement sur internet. Le CERT-FR...

Le 18 juin 2019, Oracle a publié un avis de sécurité hors de son cycle habituel de correctifs pour une vulnérabilité jugée critique. Cette faille d'identifiant CVE-2019-2729 affecte les serveurs WebLogic et peut conduire à une exécution de code arbitraire à distance sans qu'une authentification...

[Mise à jour du 29 avril 2019] Oracle a publié un correctif de sécurité le 26 avril 2019. Le CERT-FR recommande son application dans les plus brefs délais (cf. section Documentation). Le 21 avril 2019, l'équipe de chercheurs Knownsec 404 Team a annoncé avoir trouvé une vulnérabilité affectant...

Le 14 mai 2019, lors de sa mise à jour mensuelle, Microsoft a publié un correctif pour une vulnérabilité identifiée comme CVE-2019-0725 [1]. Cette vulnérabilité permet à un attaquant, non authentifié, d'exécuter du code arbitraire à distance après avoir envoyé un paquet spécialement conçu au...