{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"PAN-OS versions 9.0.x ant\u00e9rieures \u00e0 9.0.9","product":{"name":"PAN-OS","vendor":{"name":"Palo Alto Networks","scada":false}}},{"description":"PAN-OS versions 8.x ant\u00e9rieures \u00e0 8.1.15","product":{"name":"PAN-OS","vendor":{"name":"Palo Alto Networks","scada":false}}},{"description":"PAN-OS versions 9.1.x ant\u00e9rieures \u00e0 9.1.3","product":{"name":"PAN-OS","vendor":{"name":"Palo Alto Networks","scada":false}}}],"affected_systems_content":null,"closed_at":"2020-07-31","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\n## Contournement provisoire\n\nSi le mode d'authentification *SAML* n'est pas activ\u00e9, la vuln\u00e9rabilit\u00e9\nne peut \u00eatre exploit\u00e9e.\n\nSi l'option de v\u00e9rification de certificats est activ\u00e9e (\"*Validate\nIdentity Provider Certificate*\"), la vuln\u00e9rabilit\u00e9 ne peut \u00eatre\nexploit\u00e9e mais cela requiert que le fournisseur d'identit\u00e9 dispose d'un\ncertificat sign\u00e9 par une autorit\u00e9 de certification. La v\u00e9rification de\ncertificats n'est pas une obligation dans le protocole *SAML*,\nd'ailleurs tous les fournisseurs ne pr\u00e9voient pas cette possibilit\u00e9.\n\nLe CERT-FR recommande donc l'application des mises \u00e0 jour dans les plus\nbrefs d\u00e9lais.\n","cves":[{"name":"CVE-2020-2021","url":"https://www.cve.org/CVERecord?id=CVE-2020-2021"}],"links":[],"reference":"CERTFR-2020-ALE-014","revisions":[{"description":"Version initiale","revision_date":"2020-07-03T00:00:00.000000"},{"description":"La cl\u00f4ture d'une alerte ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2020-07-31T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Le 29 juin 2020, Palo Alto Networks a publi\u00e9 un avis de s\u00e9curit\u00e9\nconcernant la vuln\u00e9rabilit\u00e9\u00a0CVE-2020-2021.\n\nCette vuln\u00e9rabilit\u00e9 permet de contourner le syst\u00e8me d\u2019authentification\nsur plusieurs de ses produits lorsque le mode\nd\u2019authentification\u00a0*Security Assertion Markup Language (SAML)* est\nactiv\u00e9.\n\nDans le protocole *SAML*, on rencontre trois types d'entit\u00e9s:\n\n1.  l'utilisateur, ou le commettant (*principal*) ;\n2.  le service (*service provider*) ;\n3.  le fournisseur d'identit\u00e9 (*identity provider*)\n\nLe fournisseur d'identit\u00e9 sert de tiers de confiance entre l'utilisateur\net le service et permet de v\u00e9rifier les identit\u00e9s et les autorisations\nde chacun.\n\nL'autorisation d\u00e9livr\u00e9e par le fournisseur d'identit\u00e9 est communiqu\u00e9e au\nservice sous la forme d'un document *XML* sign\u00e9 par le fournisseur\nd'identit\u00e9.\n\nIci, la vuln\u00e9rabilit\u00e9 se trouve dans le m\u00e9canisme de v\u00e9rification de la\nsignature par le service (Palo Alto Networks). Un attaquant\nnon-authentifi\u00e9 peut forger une autorisation que le service acceptera\ncomme ayant \u00e9t\u00e9 valid\u00e9e par le fournisseur d'identit\u00e9. Il pourra ainsi\ns'authentifier de mani\u00e8re frauduleuse et obtenir les m\u00eames droits que la\npersonne pour laquelle il se fait passer.\n","title":"Vuln\u00e9rabilit\u00e9 dans Palo Alto Networks PAN-OS","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Palo Alto Networks CVE-2020-2021 du 29 juin 2020","url":"https://security.paloaltonetworks.com/CVE-2020-2021"},{"published_at":null,"title":"Avis CERT-FR CERTFR-2020-AVI-398 du 29 juin 2020","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-398/"}]}