Objet: Bulletin d’actualité CERTFR-2020-ACT-015

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 49

CVE-2020-1747 : Vulnérabilité dans IBM Spectrum Protect Plus

Une vulnérabilité a été découverte dans PyYAML causée par une erreur lors du traitement des fichiers YAML (méthode full_load ou chargeur FullLoader). Cette vulnérabilité, dont l’éditeur a attribué un score CVSSv3 de 9.8, affecte les agents pour Kubernetes (Linux) et Microsoft. Elle permet à un attaquant de pouvoir exécuter du code arbitraire à distance.

Liens :

• https://www.ibm.com/support/pages/node/6376724
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-790

Suivi des alertes

CVE-2020-4006 : Vulnérabilité dans VMware Workspace One Access, Access Connector, Identity Manager et Identity Manager Connector

L’éditeur a publié un correctif pour l’ensemble des versions des produits afin de corriger une vulnérabilité permettant à un attaquant authentifié, et ayant accès à cette interface, de prendre le contrôle du système et de pouvoir ainsi potentiellement se latéraliser sur d’autres équipements du système d’information. L’alerte CERT-FR a été mise à jour avec ces informations également.

Liens :

• https://kb.vmware.com/s/article/81754
• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-024/

 

---

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 30 novembre au 06 décembre 2020, le CERT-FR a émis les publications suivantes :

• CERTFR-2020-AVI-779 : Multiples vulnérabilités dans Trend Micro IWSVA
• CERTFR-2020-AVI-780 : Multiples vulnérabilités dans IBM QRadar Network Security
• CERTFR-2020-AVI-781 : Vulnérabilité dans les produits Foxit sur macOS
• CERTFR-2020-AVI-782 : Multiples vulnérabilités dans IBM Db2
• CERTFR-2020-AVI-783 : Multiples vulnérabilités dans Chrome OS
• CERTFR-2020-AVI-784 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2020-AVI-785 : Vulnérabilité dans Junos OS
• CERTFR-2020-AVI-786 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
• CERTFR-2020-AVI-787 : Vulnérabilité dans Mozilla Thunderbird
• CERTFR-2020-AVI-788 : Multiples vulnérabilités dans les produits Fortinet
• CERTFR-2020-AVI-789 : Multiples vulnérabilités dans Apple iCloud pour Windows
• CERTFR-2020-AVI-790 : Vulnérabilité dans les produits IBM
• CERTFR-2020-AVI-791 : Multiples vulnérabilités dans Google Chrome OS

Durant la même période, les publications suivantes ont été mises à jour :

• CERTFR-2020-ALE-23 : Multiples vulnérabilités dans Google Chrome