S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 mars 2024
N° CERTFR-2024-AVI-0208
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Microsoft

Gestion du document

Référence CERTFR-2024-AVI-0208
Titre Multiples vulnérabilités dans les produits Microsoft
Date de la première version13 mars 2024
Date de la dernière version13 mars 2024
Source(s) Bulletin de sécurité Microsoft les produits Microsoft du 12 mars 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Usurpation d'identité
  • Élévation de privilèges

Systèmes affectés

  • Container Monitoring Solution versions antérieures à microsoft-oms-latest with full ID: sha256:855bfeb0
  • Intune Company Portal pour Android versions antérieures à 2402
  • Log Analytics Agent versions antérieures à OMS Agent for Linux GA v1.19.0
  • Microsoft Authenticator versions antérieures à 6.2401.0617
  • Microsoft Dynamics 365 (on-premises) version 9.1 versions antérieures à 9.1.26
  • Microsoft Exchange Server 2016 Cumulative Update 23 versions antérieures à 15.01.2507.037
  • Microsoft Exchange Server 2019 Cumulative Update 13 versions antérieures à 15.02.1258.032
  • Microsoft Exchange Server 2019 Cumulative Update 14 versions antérieures à 15.02.1544.009
  • Microsoft SharePoint Enterprise Server 2016 versions antérieures à 16.0.5439.1000
  • Microsoft SharePoint Server 2019 versions antérieures à 16.0.10408.20000
  • Microsoft SharePoint Server Subscription Edition versions antérieures à 16.0.17328.20136
  • Microsoft Teams pour Android versions antérieures à 1.0.0.2024022302
  • Microsoft Visual Studio 2022 version 17.4 versions antérieures à 17.4.17
  • Microsoft Visual Studio 2022 version 17.6 versions antérieures à 17.6.13
  • Microsoft Visual Studio 2022 version 17.8 versions antérieures à 17.8.8
  • Microsoft Visual Studio 2022 version 17.9 versions antérieures à 17.9.3
  • Open Management Infrastructure versions antérieures à OMI version 1.8.1-0
  • Operations Management Suite Agent pour Linux (OMS) versions antérieures à 1.8.1-0
  • Skype pour Consumer versions antérieures à 8.113
  • Software pour Open Networking in the Cloud (SONiC) 201811 versions antérieures à 20181130.106
  • Software pour Open Networking in the Cloud (SONiC) 201911 versions antérieures à 20191130.89
  • Software pour Open Networking in the Cloud (SONiC) 202012 versions antérieures à 20201231.96
  • Software pour Open Networking in the Cloud (SONiC) 202205 versions antérieures à 20220531.26
  • SQL Server backend pour Django versions antérieures à 1.4.1
  • System Center Operations Manager (SCOM) 2019 versions antérieures à 10.19.1253.0
  • System Center Operations Manager (SCOM) 2022 versions antérieures à 10.22.1070.0
  • Visual Studio Code versions antérieures à 1.87.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Microsoft. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 mars 2024
    Version initiale