Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 30

CVE-2021-30807 : Vulnérabilités dans iOS, iPadOS et macOS Big Sur

Le 26 juillet 2021, Apple a publié un correctif pour la vulnérabilité CVE-2021-30807. Celle-ci permet un exécution de code arbitraire à distance avec un haut niveau de privilèges. L’éditeur indique que cette vulnérabilité est potentiellement exploitée.

Liens :

CVE-2020-36282 : Vulnérabilité dans IBM QRadar

La vulnérabilité CVE-2020-36282 permet une exécution de code arbitraire à distance suite à une dé-sérialisation mal filtrée. Cette vulnérabilité critique affecte le client JMS pour RabbitMQ utilisé par QRadar.  Son score CVSSv3 est 9.8.

Liens :

CVE-2021-36741 et CVE-2021-36742 : Multiples vulnérabilités dans les produits Trend Micro

La vulnérabilité CVE-2021-36741 permet un téléversement de fichier arbitraire. La vulnérabilité CVE-2021-36742 permet une élévation de privilèges.

Trend Micro a détecté au moins une tentative d’exploitation de ces deux vulnérabilités. Elles affectent Apex One et Worry-Free Business Security.

Liens :

Autres vulnérabilités

CVE-2021-34470 : Vulnérabilité dans Microsoft Exchange

La vulnérabilité CVE-2021-34470 a été corrigé dans la mise à jour mensuelle de juillet 2021. Elle permet une élévation de privilèges. Des codes d’attaque sont publiquement disponibles pour cette vulnérabilité. De nombreuses vulnérabilités affectant Exchange ont été corrigées ces derniers mois, dont certaines sont activement exploitées (cf. CERTFR-2021-ALE-004). Le CERT-FR réitère l’importance de garder ce service à jour avec les derniers correctifs de sécurité, d’autant plus que ce dernier est accessible depuis Internet.

Liens :

CVE-2020-7676 : Vulnérabilité dans F5 BIG-IP

La vulnérabilité CVE-2020-7676 est de type XSS dans angular.js, utilisé par le SSL Orchestrator de F5 BIG-IP. Cette vulnérabilité n’est pas critique, mais elle ne sera pas corrigée dans les versions 12.x et 13.x de BIG-IP.

Liens :


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 26 juillet au 01 août 2021, le CERT-FR a émis les publications suivantes :