Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- Self-hosted Integration Runtime (Runtime d'intégration auto-hébergé)
- Pilote ODBC Magnitude Simba d'Amazon Redshift
- Azure Data Factory
- Azure Synapse
L'éditeur a transmis une information aux clients disposant de cette configuration. Aucune action n'est nécessaire de la part des utilisateurs du pipeline Azure Data Factory ou Azure Synapse hébergés dans le cloud Azure ou localement (Self-Hosted Integration Runtime) avec les mises à jour automatiques activées. Un correctif doit être installé sur les environnements configurés sans mise à jour automatique.
Résumé
Une vulnérabilité a été découverte dans Microsoft Azure. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft CVE-2022-29972 du 09 mai 2022
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29972 - Bulletin de sécurité Microsoft ADV220001 du 09 mai 2022
https://msrc.microsoft.com/update-guide/vulnerability/ADV220001 - Bulletin d'information Microsoft du 09 mai 2022
https://msrc-blog.microsoft.com/2022/05/09/vulnerability-mitigated-in-the-third-party-data-connector-used-in-azure-synapse-pipelines-and-azure-data-factory-cve-2022-29972 - Référence CVE CVE-2022-29972
https://www.cve.org/CVERecord?id=CVE-2022-29972