Bulletin d’actualité du 26/04/2021
Nous voici de nouveau ensemble dans notre rendez-vous de fin de semaine pour revenir sur les différents bulletins de sécurité publiés par le CERT-FR !
Durant la période du 19 avril au 25 avril 2021, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France) a publié un total de 33 bulletins d’alertes de vulnérabilités.
Produits QNAP vulnérables
Les produits QNAP qui utilisent HBS 3 Hybrid Backup Sync sont vulnérables à un attaquant qui pourrait faire le contournement de la stratégie de contrôle d’accès et de ce fait prendre le contrôle du NAS. Il est vivement recommandé de mettre à jour vos NAS, principalement ceux qui ont une ouverture vers l’extérieur.
Produits Oracle à mal
Différentes vulnérabilités dont le score CVSS3 est compris entre 9.6 et 10 touchent les produits Oracle : WebLogic, MySQL Entreprise Monitor, ZFS Storage Appliance ou encore Secure Global Desktop. Les différentes failles permettent à un attaquant de prendre le contrôle des différentes solutions.
L’ensemble des alertes de la semaine n°16
- CERTFR-2021-ALE-007 : Vulnérabilité dans Pulse Connect Secure
- CERTFR-2021-AVI-280 : Multiples vulnérabilités dans Mitel MiCollab
- CERTFR-2021-AVI-281 : Vulnérabilité dans OpenSSH
- CERTFR-2021-AVI-282 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2021-AVI-283 : Vulnérabilité dans Juniper Junos OS
- CERTFR-2021-AVI-284 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-285 : Vulnérabilité dans VMware NSX-T
- CERTFR-2021-AVI-286 : Multiples vulnérabilités dans Mozilla Thunderbird
- CERTFR-2021-AVI-287 : Multiples vulnérabilités dans Mozilla Firefox
- CERTFR-2021-AVI-288 : Multiples vulnérabilités dans F5 BIG-IP
- CERTFR-2021-AVI-289 : Vulnérabilité dans IBM WebSphere
- CERTFR-2021-AVI-290 : Multiples vulnérabilités dans les produits Juniper
- CERTFR-2021-AVI-291 : Vulnérabilité dans Sonicwall Email Security
- CERTFR-2021-AVI-292 : Multiples vulnérabilités dans les produits Aruba
- CERTFR-2021-AVI-293 : Vulnérabilité dans IBM WebSphere Application Server
- CERTFR-2021-AVI-294 : Vulnérabilité dans Symantec Security Analytics
- CERTFR-2021-AVI-295 : Multiples vulnérabilités dans Oracle Database
- CERTFR-2021-AVI-296 : Multiples vulnérabilités dans Oracle MySQL
- CERTFR-2021-AVI-297 : Multiples vulnérabilités dans Oracle Java SE
- CERTFR-2021-AVI-298 : Multiples vulnérabilités dans Oracle Virtualization
- CERTFR-2021-AVI-299 : Multiples vulnérabilités dans Oracle Systems
- CERTFR-2021-AVI-300 : Multiples vulnérabilités dans Oracle WebLogic
- CERTFR-2021-AVI-301 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-302 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-303 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-304 : Vulnérabilité dans Drupal
- CERTFR-2021-AVI-305 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2021-AVI-306 : Vulnérabilité dans IBM WebSphere Application Server
- CERTFR-2021-AVI-307 : Vulnérabilité dans QNAP HBS 3 Hybrid Backup Sync
- CERTFR-2021-AVI-308 : Vulnérabilité dans F5 BIG-IP
- CERTFR-2021-AVI-309 : Vulnérabilité dans Wireshark
- CERTFR-2021-AVI-310 : Multiples vulnérabilités dans IBM Db2
- CERTFR-2021-AVI-311 : Multiples vulnérabilités dans Microsoft Edge
À propos de CERT-FR
Le CERT-FR (« Computer Emergency Response Team ») est une des composantes curatives complémentaires des actions préventives assurées par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
En tant que CERT national, il est le point de contact international privilégié pour tout incident de nature cyber touchant la France. Il assure une permanence de ses activités 24h/24, 7j/7.
Ses principales missions peuvent se décliner ainsi :
- Détecter les vulnérabilités des systèmes, au travers notamment d’une veille technologique ;
- Piloter la résolution des incidents, si besoin avec le réseau mondial des CERT ;
- Aider à la mise en place de moyens permettant de se prémunir contre de futurs incidents ;
- Organiser la mise en place d’un réseau de confiance.
Vous pouvez retrouver l’intégralité de nos précédents articles publiés ces dernières semaines sur les bulletins d’alertes du CERT-FR via ce lien.
