De multiples vulnérabilités ont été découvertes dans les deux versions 2019 et 3000 de la solution SaltStack. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un contournement de la politique de sécurité. Plusieurs incidents de sécurité ont été relayés en source...
Alertes de sécurité
CERTFR-2020-ALE-013
Publié le 01 juillet 2020
Clôturée le 05 juillet 2020
[Mise à jour du 03 juillet 2020] Microsoft a mis à jour ses avis pour indiquer que les versions Server de Windows ne sont pas vulnérables. De même, comme les composants vulnérables sont uniquement disponibles par le Windows Store, tout système bloquant celui-ci n'est pas vulnérable....
CERTFR-2020-ALE-011
Publié le 22 avril 2020
Clôturée le 23 juin 2020
Le 21 avril 2020, Microsoft a publié un avis de sécurité annonçant la sortie d'un correctif pour multiples vulnérabilités affectant ses produits qui utilisent la bibliothèque Autodesk FBX. Ces vulnérabilités permettent à un attaquant d'exécuter du code arbitraire à distance si un utilisateur...
CERTFR-2020-ALE-009
Publié le 24 mars 2020
Clôturée le 23 juin 2020
[Mise à jour du 15 avril 2020] Le 14 avril 2020, Microsoft a publié les correctifs de sécurité pour les vulnérabilités CVE-2020-1020 et CVE-2020-0938 à l'occasion de sa mise à jour mensuelle. Le CERT-FR recommande l’application des correctifs dans les plus brefs délais. Microsoft a également...
CERTFR-2020-ALE-001
Publié le 09 janvier 2020
Clôturée le 05 mai 2020
Le 24 avril 2019, l'éditeur Pulse Secure a émis un avis de sécurité pour les produits Pulse Connect Secure et Pulse Policy Secure. Le CERT-FR a ensuite publié un bulletin d'actualité portant sur plusieurs produits, dont les produits Pulse Secure (cf. section Documentation). Le CERT-FR a...
CERTFR-2020-ALE-007
Publié le 27 février 2020
Clôturée le 05 mai 2020
[Mise à jour du 18 mars 2020] Des rapports publiés en source ouverte font état d'un faible taux de mise à jour des serveurs Microsoft Exchange alors que les codes d'exploitation sont disponibles. Le CERT-FR rappelle qu'il suffit à un attaquant de trouver le compte d'un utilisateur et son mot...
CERTFR-2020-ALE-010
Publié le 06 avril 2020
Clôturée le 05 mai 2020
Le 3 avril 2020, Mozilla a publié des correctifs pour deux vulnérabilités affectant le navigateur Firefox. Mozilla annonce que ces deux vulnérabilités, qui permettent une exécution de code arbitraire à distance, sont activement exploitées dans le cadre d'attaques ciblées. Le CERT-FR recommande...
CERTFR-2020-ALE-004
Publié le 14 janvier 2020
Clôturée le 24 mars 2020
[Mise à jour du 17 janvier 2020 : informations complémentaires et clarification sur les impacts] Une vulnérabilité affecte la bibliothèque cryptographique CryptoAPI (CAPI, crypt32.dll) de Microsoft Windows 10, Windows Server 2016 et Windows Server 2019. Depuis 2015, la bibliothèque...
CERTFR-2020-ALE-005
Publié le 14 janvier 2020
Clôturée le 19 février 2020
[Mise à jour du 29 janvier 2020] Du code d'attaque est désormais disponible publiquement concernant l'exploitation des vulnérabilités CVE-2020-0609 et CVE-2020-0610. Pour l'instant, le code publique ne permet en l'état qu'un déni de service. Toutefois, il a été annoncé que du code d'attaque...
CERTFR-2020-ALE-006
Publié le 20 janvier 2020
Clôturée le 19 février 2020
[Mise à jour du 11 février 2020] Microsoft a publié le correctif dans le cadre du Patch Tuesday[1][2]. L'application du correctif sans délai est fortement recommandée. Le CERT-FR rappelle que si la mesure de contournement proposée par Microsoft a été appliquée, il est impératif d'en...