Le 20 octobre 2020, Oracle a publié plusieurs correctifs de sécurité concernant Oracle Weblogic. Parmi les vulnérabilités corrigées, la CVE-2020-14882 permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Déclarée comme très simple à …
Source de l’article sur CERT-FR
New research from the Pacific Northwest National Laboratory (PNNL) Data Sciences and Analytics Group shows that 25% of vulnerabilities appear on social media before the National Vulnerability Database (NVD). And it takes an average of nearly 90 days between a vulnerability being discussed on social media and the time it shows up in the NVD.
The reasons application vulnerabilities show up this often on social media before they get logged in the NVB are multiple. For developers just starting out in their career or those learning about a specific piece of software, they may not know that something is a vulnerability, that vulnerabilities need to be treated differently, and/or how to report vulnerabilities. In some cases, they may not know if the “issue” they found is a true vulnerability. Naturally, they look to the tools they regularly use when connecting with other developers—social media channels like GitHub, Twitter, and the various forums and discussions housed on Reddit.
[Mise à jour du 03 juillet 2020]
Microsoft a mis à jour ses avis pour indiquer que les versions Server de Windows ne sont pas vulnérables.
De même, comme les composants vulnérables sont uniquement disponibles par le Windows Store, tout système bloquant …
Source de l’article sur CERT-FR
De multiples vulnérabilités ont été découvertes dans les deux versions 2019 et 3000 de la solution SaltStack. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un contournement de la politique de sécurité.
Plusieurs incidents de sécurité ont été relayés …
Source de l’article sur CERT-FR
Le 21 avril 2020, Microsoft a publié un avis de sécurité annonçant la sortie d’un correctif pour multiples vulnérabilités affectant ses produits qui utilisent la bibliothèque Autodesk FBX.
Ces vulnérabilités permettent à un attaquant d’exécuter du code arbitraire à distance si un …
Source de l’article sur CERT-FR
Le 3 avril 2020, Mozilla a publié des correctifs pour deux vulnérabilités affectant le navigateur Firefox.
Mozilla annonce que ces deux vulnérabilités, qui permettent une exécution de code arbitraire à distance, sont activement exploitées dans le cadre d’attaques ciblées.
La bibliothèque Adobe Type Manager Library utilisée dans Microsoft Windows assure la gestion des polices de caractère pour le format postscript. Celle-ci est chargée lors de la lecture d’un fichier. La lecture d’un fichier peut être demandée explicitement par l’utilisateur …
Source de l’article sur CERT-FR
Depuis Microsoft Windows Server 2012, la passerelle d’accès distant Microsoft Remote Desktop Gateway (RD Gateway) intègre par défaut de nouvelles fonctionnalités dénommées RemoteFX améliorant la prise en charge de certains contenus multimédias et également …
Source de l’article sur CERT-FR
Le 24 avril 2019, l’éditeur Pulse Secure a émis un avis de sécurité pour les produits Pulse Connect Secure et Pulse Policy Secure. Le CERT-FR a ensuite publié un bulletin d’actualité portant sur plusieurs produits, dont les produits Pulse Secure (cf. section Documentation).
Le CERT-FR …
Source de l’article sur CERT-FR
De multiples vulnérabilités ont été découvertes dans Google Chrome. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance. Plusieurs sources, dont Google, confirment que l’une des vulnérabilités (CVE-2019-13720) est actuellement utilisée dans des attaques …
Source de l’article sur CERT-FR
