Alertes de sécurité

[MàJ] Vulnérabilité dans Microsoft Netlogon

CERTFR-2020-ALE-020 Publié le 15 septembre 2020 Alerte en cours

[Mise à jour du 20 janvier 2021]

L'éditeur rappelle dans un billet de blog que la dernière étape de correction pour la vulnérabilité CVE-2020-1472 aura lieu lors du Patch Tuesday du 9 février 2021 [5].

Il est donc impératif d'avoir réalisé …

[MaJ] Présence de code malveillant dans SolarWinds Orion

CERTFR-2020-ALE-026 Publié le 14 décembre 2020 Alerte en cours
[Mise à jour du 28 décembre 2020]
Le 27 décembre 2020, l'avis SolarWinds a été mis à jour pour apporter des précisions sur SUPERNOVA, un "code encoquillé" (webshell) déposé et exécuté via l'exploitation d'une vulnérabilité corrigée dans les …

Vulnérabilité dans Fortinet FortiOS SSL-VPN

CERTFR-2020-ALE-025 Publié le 27 novembre 2020 Alerte en cours

Le 24 mai 2019, l'éditeur Fortinet avait publié un avis de sécurité corrigeant la vulnérabilité CVE-2018-13379 qui affecte les systèmes FortiOS lorsque le service VPN SSL est activé. Cette vulnérabilité permet à des attaquants non authentifiés d'accéder aux fichiers systèmes via des requêtes …

Vulnérabilité dans Samba

CERTFR-2020-ALE-021 Publié le 18 septembre 2020 Alerte en cours

[mise à jour du 18 septembre 17h00]

L'éditeur du logiciel Samba a publié un avis et des correctifs (cf. section 'Solution').

[version initiale]

La vulnérabilité CVE-2020-1472 pour laquelle Microsoft a publié un premier correctif le 11 …

[MaJ] Vulnérabilité dans les produits VMware

CERTFR-2020-ALE-024 Publié le 24 novembre 2020 Cloturée le 17 décembre 2020

Une vulnérabilité a été découverte dans l'interface d'administration des produits Workspace One Access, Workspace One Access Connector, Identity Manager et Identity Manager Connector qui regroupent plusieurs fonctionnalités de sécurité centralisées : contrôleur d'accès à l'espace de travail, …

[MàJ] Vulnérabilité dans Oracle Weblogic

CERTFR-2020-ALE-022 Publié le 30 octobre 2020 Cloturée le 17 décembre 2020

[version du 02 novembre 2020]

L'éditeur a émis une alerte de sécurité afin de signaler que le correctif mis à disposition le 20 octobre ne corrige pas complétement la vulnérabilité CVE-2020-14882. Des patches sont mis à disposition, se référer à l'alerte de l'éditeur …

Multiples vulnérabilités dans Google Chrome

CERTFR-2020-ALE-23 Publié le 12 novembre 2020 Cloturée le 4 décembre 2020

De multiples vulnérabilités ont été découvertes dans Google Chrome. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Plusieurs sources, dont Google, confirment que ces vulnérabilités sont …

Vulnérabilité dans Cisco ASA et FTD

CERTFR-2020-ALE-018 Publié le 28 juillet 2020 Cloturée le 5 novembre 2020

Le 22 juillet 2020, Cisco a publié des correctifs pour la vulnérabilité CVE-2020-3452.

Cette vulnérabilité affecte les équipements Adaptive Security Appliance (ASA) Software et Firepower Threat Defense (FTD) lorsque les fonctionnalités WebVPN ou AnyConnect sont activées.

Cette …

Vulnérabilité dans Microsoft Domain Name System (DNS) Server

CERTFR-2020-ALE-16 Publié le 15 juillet 2020 Cloturée le 12 octobre 2020

[mise à jour du 17 juillet 2020]

Une première preuve de concept permettant de provoquer un déni de service a été publiée le 16 juillet 2020.

Le CERT-FR rappelle qu'il est urgent d'appliquer le correctif publié par l'éditeur sans délai.

[version …