[MaJ] Vulnérabilité dans Microsoft Windows (08 septembre 2021)
[Version du 15 septembre 2021] Dans le cadre de son *Patch Tuesday*, en date du 14 septembre 2021, Microsoft a mis à disposition un correctif pour cette vulnérabilité. Le CERT-FR recommande fortement d’appliquer ce correctif et, le cas échéant, d’enlever les contournements préalablement…
Multiples vulnérabilités dans Microsoft Exchange (27 août 2021)
Dans son bulletin d’actualité CERTFR-2021-ACT-035 du 12 août 2021 [[1]](http://suite%20à%20la%20publication%20d’une%20technique%20permettant%20de%20prendre%20le%20contrôle%20d’un%20serveur%20Microsoft%20Exchange), le CERT-FR revenait sur la publication d’une technique permettant de prendre le…
[MaJ] Multiples vulnérabilités dans Microsoft Windows (02 juillet 2021)
[version du 12 août 2021] Le 11 août 2021, Microsoft a publié un avis concernant la vulnérabilité CVE-2021-36958 affectant le spouleur d’impression (*print spooler*). Microsoft indique que cette vulnérabilité permet une exécution de code arbitraire à distance. Le CERT/CC ajoute qu’en se…
CERTFR-2024-ALE-007 : Multiples vulnérabilités dans les produits Cisco (25 avril 2024)
Le 24 avril 2024, Cisco a publié trois avis de sécurité concernant des vulnérabilités affectant les équipements de sécurité ASA et FTD. Deux d’entre eux concernent les vulnérabilités CVE-2024-20353 et CVE-2024-20359 qui sont activement exploitées dans le cadre d’attaques ciblées. …
CERTFR-2024-ALE-006 : Vulnérabilité dans Palo Alto Networks PAN-OS (12 avril 2024)
Une vulnérabilité a été découverte dans Palo Alto Networks PAN-OS. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. L’éditeur indique que la vulnérabilité CVE-2024-3400 est utilisée dans des attaques ciblées.
CERTFR-2024-ALE-005 : Vulnérabilité dans Microsoft Outlook (15 février 2024)
Le 13 février 2024, Microsoft a publié un correctif pour la vulnérabilité CVE-2024-21413 affectant le produit Outlook pour Windows. Elle permet à un attaquant non authentifié de divulguer le condensat …
CERTFR-2024-ALE-004 : Vulnérabilité dans Fortinet FortiOS (09 février 2024)
Le 8 février 2024, Fortinet a publié l’avis de sécurité concernant la vulnérabilité critique CVE-2024-21762 affectant le VPN SSL de FortiOS. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à …
CERTFR-2024-ALE-003 : Incident affectant les solutions AnyDesk (05 février 2024)
Le 29 janvier 2024 l’ANSSI a été alertée par le BSI que l’éditeur AnyDesk Software GmbH a été victime d’une fuite de données. Le code source des applications développées par l’éditeur ainsi que des certificats et clés privées pourraient avoir été dérobés. L’éditeur est spécialisé dans …
CERTFR-2024-ALE-002 : Vulnérabilité dans GitLab (12 janvier 2024)
Le 11 janvier 2024, l’éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab CE et EE. La plus critique est la vulnérabilité CVE-2023-7028. Elle permet à un attaquant non authentifié d’envoyer un courriel de réinitialisation de mot de passe de …
CERTFR-2024-ALE-001 : Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways (11 janvier 2024)
Le 10 janvier 2024, Ivanti a publié un avis de sécurité concernant ses produits ICS et IPS car ils sont affectés par deux vulnérabilités critiques. La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l’authentification, tandis que la vulnérabilité CVE-2024-21887 permet …