Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vulnérabilités

Avis du Cert-fr du 05 octobre 2020

octobre 2020 par StormShield

Un avis du Cert-fr publié le 5 octobre https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-618/ comporte certains éléments que nous souhaitions éclaircir.

Des vulnérabilités non corrigées ?

Deux vulnérabilités n’ont pas été corrigées sur l’ensemble des versions LTSB : la CVE https://advisories.stormshield.eu/2019-013/ et la CVE
https://advisories.stormshield.eu/2019-026/.

La première n’a pas été corrigée sur la version 3.7 car le contournement indiqué est aussi une bonne pratique recommandée par l’ANSSI, comme indiqué dans la décision de qualification de la version SNS 2.7.4, page 5, condition 7 : « Dans les cas où le service d’administration NSRPC devrait être laissé activé, la politique de filtrage doit être configurée afin de n’autoriser l’accès du service NSRPC d’administration du boitier (port 1300/TCP) qu’aux adresses IP des postes d’administration autorisés ».

La seconde n’a pas été corrigée sur les versions LTSB car elle ne peut s’exploiter qu’avec un accès physique au boitier, or dans les versions SNS actuelles, un seul utilisateur super admin est autorisé à s’authentifier rendant inutile l’exploitation de cette vulnérabilité qui repose sur l’escalade de privilèges.

Pour autant, étant donné qu’un correctif Intel était compatible avec la dernière version, nous l’avons corrigée en version 4.1.1.

Toutes les autres vulnérabilités sont bien corrigées sur toutes les versions LTSB : 3.7.13, 3.11.1 ainsi que la dernière version 4.1.1 lorsque celle-ci est affectée.

Davantage de vulnérabilités sur cve.mitre.org que sur advisories.stormshield.eu ?

L’avis du Cert-fr comporte de nombreux liens de vulnérabilités publiées sur cve.mitre.org. Ces CVE sont celles référencées dans nos avis de sécurité. Malheureusement le Cert-fr ne fait pas le lien entre ces CVE et nos avis. Ces informations sont donc redondantes et ne doivent être lue que comme une reformulation sur l’axe CVE/MITRE de nos avis.

Une CVE inconnue ?

Une vulnérabilité, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11711 ne comporte pas d’informations précises, car publiée avant la mise à disposition des versions correctives. A sa date de publication le bulletin ne pouvait pas divulguer publiquement des éléments liés à la vulnérabilité. Cette dernière est maintenant référencée dans l’avis Stormshield suivant : https://advisories.stormshield.eu/2020-011/ .
Soyez assurés de notre attention constante à votre sécurité ainsi qu’à celle de vos clients et utilisateurs.

Franck Bourguet - VP Engineering, Officier de Sécurité Produit


Voir les articles précédents

    

Voir les articles suivants

Les événements

23 avril Paris 9h à 13h : Conférence Appian, Cap Gemini sur le thème Financial Services et Assurances

    

Voir tous les évènements

Ecole de cybersecurite a Lyon et Paris
Ecole de cybersecurite a Lyon et Paris


Vulnérabilités

Toutes nos news en Francais

Alle unsere News auf deutsch

 
Actu Dossiers Cyber Securité RGPD Vulnérabilités Malwares Agenda CARTOGRAPHIE DES DC NEUTRES Carrière GS Days Guide THEMA Agences Presse CONTACTS Contact A propos Mentions légales identifier ADMIN

Global Security Mag Copyright 2011