S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 novembre 2020
N° CERTFR-2020-ACT-012
Affaire suivie par: CERT-FR
le 16 novembre 2020

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2020-ACT-012

Gestion du document

Référence CERTFR-2020-ACT-012
Titre Bulletin d’actualité CERTFR-2020-ACT-012
Date de la première version 16 novembre 2020
Date de la dernière version 16 novembre 2020
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 46

CVE-2020-26821, CVE-2020-26822, CVE-2020-26823, CVE-2020-26824, CVE-2020-6207 : Multiples vulnérabilités dans SAP Solution Manager

L’éditeur SAP a attribué un score CVSSv3 de 10 à ces cinq vulnérabilités critiques affectant Solution Manager (versions antérieures à 7.2). Ces vulnérabilités permettent de compromettre complètement le système.

Liens :

CVE-2020-26820, CVE-2020-26808, CVE-2020-6284, CVE-2019-0230, CVE-2019-0233 : Multiples vulnérabilités dans les produits SAP

De multiples vulnérabilités avec un score CVSSv3 supérieur à 9 ont été déclarées dans plusieurs produits SAP. Les produits suivants sont concernés : SAP Data Services, SAP S4 HANA, SAP S4 ABAP, SAP NetWeaver AS JAVA et SAP NetWeaver (Knowledge Management). Ces vulnérabilités critiques permettent à un attaquant de pouvoir réaliser un contournement de la politique de sécurité, une élévation de privilèges ou encore injection de code indirecte à distance (XSS) .

Liens :

 

CVE-2020-17087, CVE-2020-17051 : Multiples vulnérabilités dans les produits Windows

Parmi les vulnérabilités corrigées par Microsoft à l’occasion de sa dernière mise à jour mensuelle, l’éditeur a attribué un score CVSSv3 de 9.8 à la vulnérabilité CVE-2020-17051. Celle-ci qui permet à un attaquant d’exécuter du code arbitraire à distance dans le système de gestion de fichiers en réseau de Windows. La vulnérabilité CVE-2020-17087 est exploitée dans le cadre d’attaques ciblées, a un score de 7.8 et permet à un attaquant une élévation de privilèges au niveau du noyau Windows.

Liens :

 

CVE-2020-8752, CVE-2020-12321: Multiples vulnérabilités dans les produits Intel

Une vulnérabilité dans certains produits Intel Wireless Bluetooth permet à un attaquant une élévation de privilèges par le biais d’une restriction inappropriée de la mémoire. L’éditeur a attribué le score CVSSv3 de 9.6 a la vulnérabilité CVE-2020-12321. De plus, une autre vulnérabilité avec un score attribué par l’éditeur à 9.4 (CVE-2020-8752) permet également à un attaquant d’élever ses privilèges sur Active Management Technology (AMT) et Standard Manageability (ISM) en IPv6.

Liens :

 

CVE-2016-2031 : [SCADA] Vulnérabilité critique dans SCALANCE W1750D

Siemens a déclaré une vulnérabilité critique avec un score CVSSv3 de 9.8 sur le produit SCALANCE W1750D. Cette vulnérabilité, basée sur une validation insuffisante de paramètres utilisateurs, permet a un attaquant de contourner les politiques de sécurité, d’exécuter du code arbitraire, et de réaliser des actions non autorisées.

Liens :

CVE-2020-25608 : Vulnérabilité critique dans Mitel MiCollab

La vulnérabilité CVE-2020-25608 affecte plusieurs portails web de Mitel MiCollab. Son score CVSSv3 est 9.1. Elle permet à un attaquant de pouvoir faire une injection SQL afin d’accéder aux identifiants et mots de passe des utilisateurs.

Liens :

 

Suivi des alertes :

CVE-2020-16017, CVE-2020-16013, CVE-2020-16009 : Google Chrome

Une alerte a été publiée le 12 novembre 2020 (CERTFR-2020-ALE-23) en ce qui concerne ces trois vulnérabilités qui ont été déclarées par Google Chrome et qui sont publiquement exploitées. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité. Veuillez-vous référez à l’alerte pour plus d’informations [1].

Liens :

 

 

Rappel des avis émis

Dans la période du 09 au 15 novembre 2020, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 16 novembre 2020
    Version initiale