Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Elastic

Gestion du document

Référence	CERTFR-2023-AVI-0094
Titre	Multiples vulnérabilités dans les produits Elastic
Date de la première version	06 février 2023
Date de la dernière version	06 février 2023
Source(s)	Bulletin de sécurité Elastic 324661 du 6 février 2023
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

Déni de service à distance
Élévation de privilèges

Systèmes affectés

Kibana versions 7.0.x antérieures à 7.17.8
Kibana versions 8.0.x antérieures à 8.6.0
Elastic Endpoint Security versions 7.17.x antérieures à 7.17.9
Elastic Endpoint versions antérieures à 8.5.0
Elastic Endgame Security versions antérieure à 3.62.3

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Elastic. Elles permettent à un attaquant de provoquer un déni de service à distance et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Elastic 324661 du 6 février 2023
https://discuss.elastic.co/t/elastic-7-17-9-8-5-0-and-8-6-1-security-update/324661
Référence CVE CVE-2022-38778
https://www.cve.org/CVERecord?id=CVE-2022-38778
Référence CVE CVE-2022-38777
https://www.cve.org/CVERecord?id=CVE-2022-38777

Gestion détaillée du document

le 06 février 2023: Version initiale