CERTFR-2024-AVI-0208_Multiples vulnerabilites dans les produits Microsoft

Objet : Multiples vulnérabilités dans les produits Microsoft

Référence : CERTFR-2024-AVI-0208

Risque(s)

- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
- Usurpation d'identité
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- Container Monitoring Solution versions antérieures à microsoft-oms-latest with full ID: sha256:855bfeb0
- Intune Company Portal pour Android versions antérieures à 2402
- Log Analytics Agent versions antérieures à OMS Agent for Linux GA v1.19.0
- Microsoft Authenticator versions antérieures à 6.2401.0617
- Microsoft Dynamics 365 (on-premises) version 9.1 versions antérieures à 9.1.26
- Microsoft Exchange Server 2016 Cumulative Update 23 versions antérieures à 15.01.2507.037
- Microsoft Exchange Server 2019 Cumulative Update 13 versions antérieures à 15.02.1258.032
- Microsoft Exchange Server 2019 Cumulative Update 14 versions antérieures à 15.02.1544.009
- Microsoft SharePoint Enterprise Server 2016 versions antérieures à 16.0.5439.1000
- Microsoft SharePoint Server 2019 versions antérieures à 16.0.10408.20000
- Microsoft SharePoint Server Subscription Edition versions antérieures à 16.0.17328.20136
- Microsoft Teams pour Android versions antérieures à 1.0.0.2024022302
- Microsoft Visual Studio 2022 version 17.4 versions antérieures à 17.4.17
- Microsoft Visual Studio 2022 version 17.6 versions antérieures à 17.6.13
- Microsoft Visual Studio 2022 version 17.8 versions antérieures à 17.8.8
- Microsoft Visual Studio 2022 version 17.9 versions antérieures à 17.9.3
- Open Management Infrastructure versions antérieures à OMI version 1.8.1-0
- Operations Management Suite Agent pour Linux (OMS) versions antérieures à 1.8.1-0
- SQL Server backend pour Django versions antérieures à 1.4.1
- Skype pour Consumer versions antérieures à 8.113
- Software pour Open Networking in the Cloud (SONiC) 201811 versions antérieures à 20181130.106
- Software pour Open Networking in the Cloud (SONiC) 201911 versions antérieures à 20191130.89
- Software pour Open Networking in the Cloud (SONiC) 202012 versions antérieures à 20201231.96
- Software pour Open Networking in the Cloud (SONiC) 202205 versions antérieures à 20220531.26
- System Center Operations Manager (SCOM) 2019 versions antérieures à 10.19.1253.0
- System Center Operations Manager (SCOM) 2022 versions antérieures à 10.22.1070.0
- Visual Studio Code versions antérieures à 1.87.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Microsoft. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Microsoft CVE-2024-21392 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21392

- Bulletin de sécurité Microsoft CVE-2024-21330 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21330

- Bulletin de sécurité Microsoft CVE-2024-26201 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26201

- Bulletin de sécurité Microsoft CVE-2024-26198 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198

- Bulletin de sécurité Microsoft CVE-2024-21418 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21418

- Bulletin de sécurité Microsoft CVE-2024-26165 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26165

- Bulletin de sécurité Microsoft CVE-2024-21411 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21411

- Bulletin de sécurité Microsoft CVE-2024-26190 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26190

- Bulletin de sécurité Microsoft CVE-2024-26164 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26164

- Bulletin de sécurité Microsoft CVE-2024-21448 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21448

- Bulletin de sécurité Microsoft CVE-2024-21426 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21426

- Bulletin de sécurité Microsoft CVE-2024-21419 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21419

- Bulletin de sécurité Microsoft CVE-2024-21334 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21334

- Bulletin de sécurité Microsoft CVE-2024-21390 du 12 mars 2024

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21390

- Référence CVE CVE-2024-21330

https://www.cve.org/CVERecord?id=CVE-2024-21330

- Référence CVE CVE-2024-21334

https://www.cve.org/CVERecord?id=CVE-2024-21334

- Référence CVE CVE-2024-21390

https://www.cve.org/CVERecord?id=CVE-2024-21390

- Référence CVE CVE-2024-21392

https://www.cve.org/CVERecord?id=CVE-2024-21392

- Référence CVE CVE-2024-21411

https://www.cve.org/CVERecord?id=CVE-2024-21411

- Référence CVE CVE-2024-21418

https://www.cve.org/CVERecord?id=CVE-2024-21418

- Référence CVE CVE-2024-21419

https://www.cve.org/CVERecord?id=CVE-2024-21419

- Référence CVE CVE-2024-21426

https://www.cve.org/CVERecord?id=CVE-2024-21426

- Référence CVE CVE-2024-21448

https://www.cve.org/CVERecord?id=CVE-2024-21448

- Référence CVE CVE-2024-26164

https://www.cve.org/CVERecord?id=CVE-2024-26164

- Référence CVE CVE-2024-26165

https://www.cve.org/CVERecord?id=CVE-2024-26165

- Référence CVE CVE-2024-26190

https://www.cve.org/CVERecord?id=CVE-2024-26190

- Référence CVE CVE-2024-26198

https://www.cve.org/CVERecord?id=CVE-2024-26198

- Référence CVE CVE-2024-26201

https://www.cve.org/CVERecord?id=CVE-2024-26201

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0208/