Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’actions lorsqu’elles génèrent des risques sur le système d’information.

Vulnérabilités significatives de la semaine 44

CVE-2020-21867 : ARC Informatique PcVue

Cette vulnérabilité critique permet à un attaquant non authentifié d’injecter un code malveillant, via l’interface, qui sera exécuté par le serveur Web & Mobile. L’application des correctifs est fortement recommandée, dans le cas contraire il est possible de désinstaller ces fonctionnalités si elles ne sont pas utilisées.

Liens :

CVE-2020-7197 : HPE 3PAR StoreServ Management et Core Software Media

Cette vulnérabilité critique permet à un attaquant non authentifié de contourner le mécanisme d’authentification, pouvant donc résulter en une prise de contrôle de la console d’administration avec les droits administrateurs. L’éditeur a attribué le score CVSSv3 de 10 à cette vulnérabilité. Le CERT-FR rappelle que les interfaces d’administration doivent être sécurisées et recommande de consulter le guide de sécurisation de l’administration des SI publié par l’ANSSI [1].

Liens :

Multiples vulnérabilités permettant une exécution de code arbitraire : QNAP

De nombreuses vulnérabilités avaient été déclarées en 2018 par le constructeur QNAP. Le constructeur a ré-émis des alertes le 30 octobre 2020. Ces vulnérabilités permettent d’injecter du code malveillant via différents logiciels associés au système d’exploitation QTS. Certains malwares ciblant les matériels QNAP modifient notamment la configuration des équipements pour désactiver les mises à jour automatiques. Il est primordial de contrôler la bonne application des mises à jour de sécurité fournies par l’éditeur.

Liens :

Multiples vulnérabilités permettant une exécution de code arbitraire : Juniper Contrail et Juniper JIMS

Des vulnérabilités affectant les composants PyYAML et zlib affectent les produits Juniper Contrail et Juniper JIMS. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance. La mise à jour de Juniper Contrail et JIMS est fortement recommandée.

Liens :


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 26 au 01 novembre 2020, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

  • : [MàJ] Multiples vulnérabilités dans la pile TCP/IP de Treck
  • CERTFR-2020-AVI-659 : Multiples vulnérabilités dans Google Chrome
  • CERTFR-2020-AVI-672 : Multiples vulnérabilités dans le noyau Linux de SUSE