Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Vulnérabilités significatives de la semaine 45

CVE-2020-14750 : Oracle WebLogic

L’éditeur a émis une alerte de sécurité afin de signaler que le correctif mis à disposition le 20 octobre ne corrige pas complètement la vulnérabilité CVE-2020-14750. Cette vulnérabilité critique permet à un attaquant non authentifié d’exécuter un code arbitraire à distance.
L’éditeur a attribué le score CVSSv3 de 9.8 à cette vulnérabilité. Une mise à jour de son correctif du 20 octobre 2020 est disponible, veuillez-vous référer à l’alerte de l’éditeur pour obtenir les correctifs [1]. Dans le cas où le dernier correctif ne peut pas être déployé rapidement, il est vivement recommandé d’envisager de désactiver temporairement la console Weblogic. En effet, des codes d’exploitation sont disponibles publiquement sur internet.

Liens :

CVE-2020-16008, CVE-2020-16009, CVE-2020-16011 : Google Chrome

De multiples vulnérabilités ont été déclarées dans Google Chrome, dont deux avec un score supérieur à 9, à savoir CVE-2020-16008 et CVE-2020-16011.

Google indique que la vulnérabilité CVE-2020-16009 est activement exploitée dans le cadre d’attaques ciblées. Il est fortement recommandé de mettre à jour Google Chrome.

Liens :

CVE-2020-16008, CVE-2020-16009, CVE-2020-16011 : Microsoft Edge

Le navigateur Edge étant désormais basé sur Chromium et utilisant aussi la bibliothèque de rendu de police FreeType, il est affecté par les mêmes vulnérabilités que citées au-dessus pour Google Chrome. Il est fortement recommandé de mettre à jour toutes les versions antérieures à 86.0.622.63.

Liens :

 

CVE-2020-16846, CVE-2020-25592: SaltStack

Trois vulnérabilités ont été découvertes dont deux avec un score critique. La première permettant exécution de code arbitraire sans authentification dans l’api salt du client Salt SSH par le biais du injection shell (CVE-2020-16846). La seconde est un contournement dans l’authentification lors de l’utilisation de l’API Salt via les valeurs « token » ou « eauth » (CVE-2020-25592). Un correctif est mis à disposition, veuillez vous référer à la publication de l’éditeur pour obtenir les correctifs [1].

Liens :

 

CVE-2020-3556 : Cisco AnyConnect Secure Mobility

Une vulnérabilité avec un impact élevé a été découverte dans la communication inter-processus (IPC) du client AnyConnect Secure Mobility à cause d’un manque d’authentification. Elle permet à l’attaquant d’exécuter une code arbitraire avec les privilèges de l’utilisateur ciblé. Cette vulnérabilité touche tous les clients AnyConnect des systèmes Windows, Linux et MacOS. Cisco n’a pas publié de correctif à ce jour mais propose une mesure de contournement [1]. Cisco met en garde sur les conséquences de cette mesure, en effet elle désactive les mises à jours automatiques de sécurité et peut causer des problèmes de connectivité.

Liens :

CVE-2020-27930, CVE-2020-27932, CVE-2020-27950 : Apple

Trois vulnérabilités sur les produits Apple ont été découvertes par l’équipe Google Project Zero. Ces vulnérabilités permettent à un attaquant d’exécuter du code à arbitraire à distance (CVE-2020-27930), une élévation de privilège (CVE-2020-27932) et une atteinte à la confidentialité de la mémoire (CVE-2020-29750). Des codes d’exploitation sont accessibles sur Internet. Il est donc très fortement recommandé de mettre à jour les produits Apple, veuillez-vous référez aux publications de l’éditeur [1].

Liens :

Vulnérabilités antérieures

CVE-2020-3992 : VMware ESXi

Une mise à jour du correctif d’une vulnérabilité critique (CVE-2020-3992) ayant un score CVESSv3 de 9.8 a été publié par VMware. La mise à jour proposée ne corrige pas pleinement la CVE-2020-3992, il est donc fortement recommandé de mettre à jour VMware ESXi avec le dernier correctif publié.

Liens :

 

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 02 au 08 novembre 2020, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :