CERTFR-2024-AVI-0208_Multiples vulnerabilites dans les produits Microsoft

Objet : Multiples vulnérabilités dans les produits Microsoft

Référence : CERTFR-2024-AVI-0208

Risque(s)

- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
- Usurpation d'identité
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- Container Monitoring Solution versions antérieures à microsoft-oms-latest with full ID: sha256:855bfeb0
- Intune Company Portal pour Android versions antérieures à 2402
- Log Analytics Agent versions antérieures à OMS Agent for Linux GA v1.19.0
- Microsoft Authenticator versions antérieures à 6.2401.0617
- Microsoft Dynamics 365 (on-premises) version 9.1 versions antérieures à 9.1.26
- Microsoft Exchange Server 2016 Cumulative Update 23 versions antérieures à 15.01.2507.037
- Microsoft Exchange Server 2019 Cumulative Update 13 versions antérieures à 15.02.1258.032
- Microsoft Exchange Server 2019 Cumulative Update 14 versions antérieures à 15.02.1544.009
- Microsoft SharePoint Enterprise Server 2016 versions antérieures à 16.0.5439.1000
- Microsoft SharePoint Server 2019 versions antérieures à 16.0.10408.20000
- Microsoft SharePoint Server Subscription Edition versions antérieures à 16.0.17328.20136
- Microsoft Teams pour Android versions antérieures à 1.0.0.2024022302
- Microsoft Visual Studio 2022 version 17.4 versions antérieures à 17.4.17
- Microsoft Visual Studio 2022 version 17.6 versions antérieures à 17.6.13
- Microsoft Visual Studio 2022 version 17.8 versions antérieures à 17.8.8
- Microsoft Visual Studio 2022 version 17.9 versions antérieures à 17.9.3
- Open Management Infrastructure versions antérieures à OMI version 1.8.1-0
- Operations Management Suite Agent pour Linux (OMS) versions antérieures à 1.8.1-0
- SQL Server backend pour Django versions antérieures à 1.4.1
- Skype pour Consumer versions antérieures à 8.113
- Software pour Open Networking in the Cloud (SONiC) 201811 versions antérieures à 20181130.106
- Software pour Open Networking in the Cloud (SONiC) 201911 versions antérieures à 20191130.89
- Software pour Open Networking in the Cloud (SONiC) 202012 versions antérieures à 20201231.96
- Software pour Open Networking in the Cloud (SONiC) 202205 versions antérieures à 20220531.26
- System Center Operations Manager (SCOM) 2019 versions antérieures à 10.19.1253.0
- System Center Operations Manager (SCOM) 2022 versions antérieures à 10.22.1070.0
- Visual Studio Code versions antérieures à 1.87.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Microsoft. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Microsoft CVE-2024-21392 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21392
- Bulletin de sécurité Microsoft CVE-2024-21330 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21330
- Bulletin de sécurité Microsoft CVE-2024-26201 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26201
- Bulletin de sécurité Microsoft CVE-2024-26198 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
- Bulletin de sécurité Microsoft CVE-2024-21418 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21418
- Bulletin de sécurité Microsoft CVE-2024-26165 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26165
- Bulletin de sécurité Microsoft CVE-2024-21411 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21411
- Bulletin de sécurité Microsoft CVE-2024-26190 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26190
- Bulletin de sécurité Microsoft CVE-2024-26164 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26164
- Bulletin de sécurité Microsoft CVE-2024-21448 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21448
- Bulletin de sécurité Microsoft CVE-2024-21426 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21426
- Bulletin de sécurité Microsoft CVE-2024-21419 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21419
- Bulletin de sécurité Microsoft CVE-2024-21334 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21334
- Bulletin de sécurité Microsoft CVE-2024-21390 du 12 mars 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21390
- Référence CVE CVE-2024-21330
https://www.cve.org/CVERecord?id=CVE-2024-21330
- Référence CVE CVE-2024-21334
https://www.cve.org/CVERecord?id=CVE-2024-21334
- Référence CVE CVE-2024-21390
https://www.cve.org/CVERecord?id=CVE-2024-21390
- Référence CVE CVE-2024-21392
https://www.cve.org/CVERecord?id=CVE-2024-21392
- Référence CVE CVE-2024-21411
https://www.cve.org/CVERecord?id=CVE-2024-21411
- Référence CVE CVE-2024-21418
https://www.cve.org/CVERecord?id=CVE-2024-21418
- Référence CVE CVE-2024-21419
https://www.cve.org/CVERecord?id=CVE-2024-21419
- Référence CVE CVE-2024-21426
https://www.cve.org/CVERecord?id=CVE-2024-21426
- Référence CVE CVE-2024-21448
https://www.cve.org/CVERecord?id=CVE-2024-21448
- Référence CVE CVE-2024-26164
https://www.cve.org/CVERecord?id=CVE-2024-26164
- Référence CVE CVE-2024-26165
https://www.cve.org/CVERecord?id=CVE-2024-26165
- Référence CVE CVE-2024-26190
https://www.cve.org/CVERecord?id=CVE-2024-26190
- Référence CVE CVE-2024-26198
https://www.cve.org/CVERecord?id=CVE-2024-26198
- Référence CVE CVE-2024-26201
https://www.cve.org/CVERecord?id=CVE-2024-26201

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0208/