AVIS CERTFR - 2018 - AVI - 023

AVIS CERT
CERT-FR

Publié le 10 janvier 2018 à 12h10 - Mis à jour le 20 février 2018 à 18h03

Objet : Multiples vulnérabilités dans Microsoft .Net 

Référence : CERTFR-2018-AVI-023 

Risque(s) 

- Contournement de la fonctionnalité de sécurité 
- Déni de service 
- Élévation de privilèges 
- Injection de requêtes illégitimes par rebond (CSRF) 

Systèmes affectés 

- .NET Core 1.0 
- .NET Core 1.1
- .NET Core 2.0
- ASP.NET Core 2.0
- Microsoft .NET Framework 2.0 Service Pack 2
- Microsoft .NET Framework 3.0 Service Pack 2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.5.2
- Microsoft .NET Framework 4.6
- Microsoft .NET Framework 4.6.1
- Microsoft .NET Framework 4.6.2/4.7
- Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7
- Microsoft .NET Framework 4.7
- Microsoft .NET Framework 4.7.1

Résumé

De multiples vulnérabilités ont été corrigées dans Microsoft .Net. Elles permettent à un attaquant de provoquer une élévation de privilèges, un contournement de la fonctionnalité de sécurité, un déni de service et une injection de requêtes illégitimes par rebond (CSRF).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Microsoft du 09 janvier 2018
https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/ 
- Référence CVE CVE-2018-0785
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0785 
- Référence CVE CVE-2018-0786
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0786 
- Référence CVE CVE-2018-0764
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0764 
- Référence CVE CVE-2018-0784
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0784 

Dernière version de ce document: https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-023/ 

Qualité de la rédaction