AVIS CERTFR - 2022 - AVI - 434
Publié le 10 mai 2022 à 20h54
Objet : Multiples vulnérabilités dans les produits ESET
Référence : CERTFR-2022-AVI-434
Risque(s)
- Exécution de code arbitraire
- Atteinte à l'intégrité des données
- Élévation de privilèges
Systèmes affectés
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium versions 11.2 et suiuvantes antérieures à 15.1.12.0
- ESET Endpoint Antivirus and ESET Endpoint Security versions 6.0 et suivantes antérieures à 9.0.2046.0, 8.1.2050.0 et 8.0.2053.0
- ESET Server Security for Microsoft Windows Server versions 8.0 et suivantes antérieures à 9.0.12012.0
- ESET File Security for Microsoft Windows Server versions 6.0 et suivantes antérieures à 8.0.12013.0
- ESET Mail Security for Microsoft Exchange Server versions 6.0 et suivantes antérieures à 8.0.10020.0
- ESET Mail Security for IBM Domino versions 6.0 et suivantes antéirieures à 8.0.14011.0
- ESET Security for Microsoft SharePoint Server versions 6.0 et suivantes antérieures à 8.0.15009.0
- ESET Server Security for Microsoft Azure version 6.0 et suivantes
L'éditeur conseille aux utilisateurs de la solution ESET Server Security for Microsoft Azure de migrer vers ESET Server Security for Microsoft Windows Server.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits ESET. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à l'intégrité des données et une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité ESET du 09 mai 2022 https://support.eset.com/en/ca8268-local-privilege-escalation-vulnerabilities-in-installers-for-eset-products-for-windows-fixed
- Référence CVE CVE-2021-37851
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37851
- Référence CVE CVE-2022-27167
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27167
Dernière version de ce document