S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 mai 2022
N° CERTFR-2022-AVI-428
Affaire suivie par: CERT-FR
le 10 mai 2022

Avis du CERT-FR

Objet: Vulnérabilité dans Microsoft Azure

Gestion du document

Référence CERTFR-2022-AVI-428
Titre Vulnérabilité dans Microsoft Azure
Date de la première version 10 mai 2022
Date de la dernière version 10 mai 2022
Source(s) Bulletin de sécurité Microsoft CVE-2022-29972 du 09 mai 2022
Bulletin de sécurité Microsoft ADV220001 du 09 mai 2022
Bulletin d'information Microsoft du 09 mai 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Self-hosted Integration Runtime (Runtime d'intégration auto-hébergé)
  • Pilote ODBC Magnitude Simba d'Amazon Redshift
  • Azure Data Factory
  • Azure Synapse
L'éditeur a transmis une information aux clients disposant de cette configuration.  Aucune action n'est nécessaire de la part des utilisateurs du pipeline Azure Data Factory ou Azure Synapse hébergés dans le cloud Azure ou localement (Self-Hosted Integration Runtime) avec les mises à jour automatiques activées. Un correctif doit être installé sur les environnements configurés sans mise à jour automatique.

Résumé

Une vulnérabilité a été découverte dans Microsoft Azure. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 mai 2022
    Version initiale