Multiples vulnérabilités dans les produits SolarWinds

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)
Élévation de privilèges

Systèmes affectés

Engineer’s Toolset (ETS) versions antérieures à 2022.4 Desktop
Orion Platform versions 2020.2.6 HF5 et antérieures
Security Event Manager (SEM) versions antérieures à 2022.4
Serv-U versions antérieures à 15.3.2
SolarWinds Platform versions antérieures à 2022.4

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SolarWinds. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité SolarWinds cve-2021-35246 du 22 novembre 2022

https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35246

Bulletin de sécurité SolarWinds cve-2022-36960 du 22 novembre 2022

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-36960

Bulletin de sécurité SolarWinds cve-2022-36962 du 22 novembre 2022

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-36962

Bulletin de sécurité SolarWinds cve-2022-36964 du 22 novembre 2022

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-36964

Bulletin de sécurité SolarWinds cve-2022-38106 du 22 novembre 2022

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-38106

Bulletin de sécurité SolarWinds cve-2022-38113 du 22 novembre 2022

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-38113

Bulletin de sécurité SolarWinds cve-2022-38114 du 22 novembre 2022

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-38114

Bulletin de sécurité SolarWinds cve-2022-38115 du 22 novembre 2022

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-38115

Référence CVE CVE-2021-35246

https://www.cve.org/CVERecord?id=CVE-2021-35246

Référence CVE CVE-2022-36960

https://www.cve.org/CVERecord?id=CVE-2022-36960

Référence CVE CVE-2022-36962

https://www.cve.org/CVERecord?id=CVE-2022-36962

Référence CVE CVE-2022-36964

https://www.cve.org/CVERecord?id=CVE-2022-36964

Référence CVE CVE-2022-38106

https://www.cve.org/CVERecord?id=CVE-2022-38106

Référence CVE CVE-2022-38113

https://www.cve.org/CVERecord?id=CVE-2022-38113

Référence CVE CVE-2022-38114

https://www.cve.org/CVERecord?id=CVE-2022-38114

Référence CVE CVE-2022-38115

https://www.cve.org/CVERecord?id=CVE-2022-38115

Référence	CERTFR-2022-AVI-1051
Titre	Multiples vulnérabilités dans les produits SolarWinds
Date de la première version	23 novembre 2022
Date de la dernière version	23 novembre 2022
Source(s)	Bulletin de sécurité SolarWinds cve-2021-35246 du 22 novembre 2022 Bulletin de sécurité SolarWinds cve-2022-36960 du 22 novembre 2022 Bulletin de sécurité SolarWinds cve-2022-36962 du 22 novembre 2022 Bulletin de sécurité SolarWinds cve-2022-36964 du 22 novembre 2022 Bulletin de sécurité SolarWinds cve-2022-38106 du 22 novembre 2022 Bulletin de sécurité SolarWinds cve-2022-38113 du 22 novembre 2022 Bulletin de sécurité SolarWinds cve-2022-38114 du 22 novembre 2022 Bulletin de sécurité SolarWinds cve-2022-38115 du 22 novembre 2022
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SolarWinds

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document