CERTFR-2024-AVI-0291_Multiples vulnerabilites dans Microsoft Azure

Objet : Multiples vulnérabilités dans Microsoft Azure

Référence : CERTFR-2024-AVI-0291

Risque(s)

- Atteinte à la confidentialité des données
- Déni de service
- Exécution de code arbitraire à distance
- Élévation de privilèges

Systèmes affectés

- Azure AI Search
- Azure Arc Cluster microsoft.azstackhci.operator Extension versions antérieures à 5.0.5
- Azure Arc Cluster microsoft.azure.hybridnetwork Extension versions antérieures à 1.0.2620-162
- Azure Arc Cluster microsoft.azurekeyvaultsecretsprovider Extension versions antérieures à 1.5.2
- Azure Arc Cluster microsoft.iotoperations.mq Extension versions antérieures à 0.3.0-preview
- Azure Arc Cluster microsoft.networkfabricserviceextension Extension versions antérieures à 5.1.3
- Azure Arc Cluster microsoft.openservicemesh Extension versions antérieures à 1.2.6
- Azure Arc Cluster microsoft.videoindexer Extension versions antérieures à 1.1.2
- Azure Compute Gallery
- Azure CycleCloud 8.6.0 versions antérieures à 8.6.1
- Azure Identity Library pour .NET versions antérieures à 1.11.0
- Azure Kubernetes Service Confidential Containers versions antérieures à 0.3.4
- Azure Migrate versions antérieures à 6.1.294.1003
- Azure Monitor Agent versions antérieures à 1.24.0
- Azure Private 5G Core versions antérieures à 2403.0-2

Résumé

De multiples vulnérabilités ont été découvertes dans Microsoft Azure. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Microsoft CVE-2024-28917 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-28917  
Bulletin de sécurité Microsoft CVE-2024-29990 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29990  
Bulletin de sécurité Microsoft CVE-2024-29989 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29989  
Bulletin de sécurité Microsoft CVE-2024-26193 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26193  
Bulletin de sécurité Microsoft CVE-2024-21424 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21424  
Bulletin de sécurité Microsoft CVE-2024-29063 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29063  
Bulletin de sécurité Microsoft CVE-2024-20685 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20685  
Bulletin de sécurité Microsoft CVE-2024-29992 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29992  
Bulletin de sécurité Microsoft CVE-2024-29993 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29993  
Référence CVE CVE-2024-20685
https://www.cve.org/CVERecord?id=CVE-2024-20685  
Référence CVE CVE-2024-21424
https://www.cve.org/CVERecord?id=CVE-2024-21424  
Référence CVE CVE-2024-26193
https://www.cve.org/CVERecord?id=CVE-2024-26193  
Référence CVE CVE-2024-28917
https://www.cve.org/CVERecord?id=CVE-2024-28917  
Référence CVE CVE-2024-29063
https://www.cve.org/CVERecord?id=CVE-2024-29063  
Référence CVE CVE-2024-29989
https://www.cve.org/CVERecord?id=CVE-2024-29989  
Référence CVE CVE-2024-29990
https://www.cve.org/CVERecord?id=CVE-2024-29990  
Référence CVE CVE-2024-29992
https://www.cve.org/CVERecord?id=CVE-2024-29992  
Référence CVE CVE-2024-29993
https://www.cve.org/CVERecord?id=CVE-2024-29993  

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0291/