Les derniers documents du CERT-FR.

CERT-FR (Centre d'Expertise gouvernemental de Reponse et de Traitement des Attaques informatiques). http://cert.ssi.gouv.fr

CERTFR-2017-AVI-095
Multiples vulnérabilités dans Google Chrome et Chrome OS (30 mars 2017)
De multiples vulnérabilités ont été corrigées dans Google Chrome et Chrome OS. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur.
CERTFR-2017-AVI-094
Vulnérabilité dans le noyau Linux d'Ubuntu (30 mars 2017)
Une vulnérabilité a été corrigée dans le noyau Linux d'Ubuntu. Elle permet à un attaquant de provoquer une exécution de code arbitraire et un déni de service.
CERTFR-2017-AVI-093
Multiples vulnérabilités dans les produits VMware (29 mars 2017)
De multiples vulnérabilités ont été corrigées dans les produits VMware. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service et une atteinte à la confidentialité des données.
CERTFR-2017-ALE-006
Multiples vulnérabilités dans SCADA Siemens RUGGEDCOM ROX I (29 mars 2017)
De multiples vulnérabilités ont été découvertes dans SCADA Siemens RUGGEDCOM ROX I. Certaines d'entre elles permettent à un attaquant de provoquer injection de requêtes illégitimes par rebond, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
CERTFR-2017-AVI-092
Multiples vulnérabilités dans les produits Apple (28 mars 2017)
De multiples vulnérabilités ont été corrigées dans les produits Apple. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et un déni de service.
CERTFR-2017-ACT-013
Bulletin d'actualité numéro 013 de l'année 2017 (27 mars 2017)
CERTFR-2017-ACT-013
CERTFR-2017-AVI-091
Vulnérabilité dans Samba (23 mars 2017)
Une vulnérabilité a été corrigée dans Samba. Elle permet à un attaquant de provoquer une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
CERTFR-2017-AVI-090
Multiples vulnérabilités dans NTP (23 mars 2017)
De multiples vulnérabilités ont été corrigées dans NTP. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.
CERTFR-2017-AVI-089
Multiples vulnérabilités dans les produits Cisco (23 mars 2017)
De multiples vulnérabilités ont été corrigées dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.
CERTFR-2017-AVI-088
Vulnérabilité dans Mozilla Firefox (20 mars 2017)
Une vulnérabilité a été corrigée dans Mozilla Firefox. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
CERTFR-2017-AVI-087
Multiples vulnérabilités dans Moodle (20 mars 2017)
De multiples vulnérabilités ont été corrigées dans Moodle. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
CERTFR-2017-ALE-005
Vulnérabilité dans les commutateurs Cisco (20 mars 2017)
Une vulnérabilité a été découverte dans les commutateurs Cisco. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
CERTFR-2017-ACT-012
Bulletin d'actualité numéro 012 de l'année 2017 (20 mars 2017)
CERTFR-2017-ACT-012
CERTA-2005-INF-003
Les systèmes et logiciels obsolètes (17 mars 2017)
CERTA-2005-INF-003
CERTFR-2017-AVI-086
Multiples vulnérabilités dans le noyau Linux d'Ubuntu (16 mars 2017)
De multiples vulnérabilités ont été corrigées dans le noyau Linux d'Ubuntu. Elles permettent à un attaquant de provoquer un déni de service et une élévation de privilèges.
CERTFR-2017-AVI-085
Multiples vulnérabilités dans Drupal (16 mars 2017)
De multiples vulnérabilités ont été corrigées dans Drupal. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une injection de requêtes illégitimes par rebond (CSRF).
CERTFR-2017-ALE-003
Vulnérabilité dans les navigateurs Microsoft (15 mars 2017)
Une vulnérabilité a été découverte dans les navigateurs Microsoft. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. Cette vulnérabilité exploite une faille de type confusion de type et peut être déclenchée en définissant des valeurs particulières pour les propriétés d'un objet tableau dans une page Web spécialement conçue. On notera que cette vulnérabilité est atténuée par l'utilisation de la mesure de sécurité de Windows Control Flow Guard (CFG) au sein de l'application. Un attaquant souhaitant exploiter la vulnérabilité devra ainsi mettre en oeuvre un contournement de la contre-mesure CFG. À l'occasion de la mise à jour de sécurité du mois de mars 2017, cette vulnérabilité a été corrigée par Microsoft.
CERTFR-2017-ALE-002
Vulnérabilité dans Microsoft Windows (15 mars 2017)
Une vulnérabilité a été découverte dans Microsoft Windows. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données. La vulnérabilité présente dans la bibliothèque Graphics Device Interface (gdi32.dll) de Windows permet à un attaquant de lire des portions de mémoire auquel il n'a pas normalement accès. Cette faille provient d'un manque de vérification dans la gestion des Device Independant Bitmaps (DIB) qui sont contenus dans les fichiers de type Enhanced Metafiles (EMF). L'attaque peut être déclenchée si un utilisateur se rend sur un site internet contenant un fichier .emf piégé en utilisant Internet Explorer. Un fichier .emf peut également être inclus dans d'autres documents (ex. .docx), ce qui augmente la surface d'attaque. Le chercheur Mateusz Jurczyk dit avoir réussi à exploiter la vulnérabilité à distance par le biais de Office Online. L'impact de cette vulnérabilité dépend de l'emplacement où est chargé le fichier malveillant en mémoire, et de ce qui est disponible dans les adresses proches. À l'occasion de la mise à jour de sécurité du mois de mars 2017, cette vulnérabilité a été corrigée par Microsoft.
CERTFR-2017-AVI-084
Multiples vulnérabilités dans les produits Cisco (15 mars 2017)
De multiples vulnérabilités ont été corrigées dans les produits Cisco. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une élévation de privilèges.
CERTFR-2017-AVI-083
Vulnérabilité dans Xen (15 mars 2017)
Une vulnérabilité a été corrigée dans Xen. Elle permet à un attaquant de provoquer une exécution de code arbitraire.
CERTFR-2017-AVI-082
Multiples vulnérabilités dans Microsoft Windows (15 mars 2017)
De multiples vulnérabilités ont été corrigées dans Microsoft Windows. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.
CERTFR-2017-AVI-081
Multiples vulnérabilités dans Microsoft Office (15 mars 2017)
De multiples vulnérabilités ont été corrigées dans Microsoft Office. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.
CERTFR-2017-AVI-080
Multiples vulnérabilités dans Microsoft Edge (15 mars 2017)
De multiples vulnérabilités ont été corrigées dans Microsoft Edge. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
CERTFR-2017-AVI-079
Multiples vulnérabilités dans Microsoft Internet Explorer (15 mars 2017)
De multiples vulnérabilités ont été corrigées dans Microsoft Internet Explorer. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
CERTFR-2017-AVI-078
Vulnérabilité dans Adobe Shockwave Player (15 mars 2017)
Une vulnérabilité a été corrigée dans Adobe Shockwave Player. Elle permet à un attaquant de provoquer une élévation de privilèges.