CERTFR-2024-AVI-0291_Multiples vulnerabilites dans Microsoft Azure

AVIS CERT
CERT-FR

Publié le 10 avril 2024 à 15h11 - Mis à jour le 10 avril 2024 à 15h18

Objet : Multiples vulnérabilités dans Microsoft Azure

Référence : CERTFR-2024-AVI-0291

Risque(s)

- Atteinte à la confidentialité des données
- Déni de service
- Exécution de code arbitraire à distance
- Élévation de privilèges

Systèmes affectés

- Azure AI Search
- Azure Arc Cluster microsoft.azstackhci.operator Extension versions antérieures à 5.0.5
- Azure Arc Cluster microsoft.azure.hybridnetwork Extension versions antérieures à 1.0.2620-162
- Azure Arc Cluster microsoft.azurekeyvaultsecretsprovider Extension versions antérieures à 1.5.2
- Azure Arc Cluster microsoft.iotoperations.mq Extension versions antérieures à 0.3.0-preview
- Azure Arc Cluster microsoft.networkfabricserviceextension Extension versions antérieures à 5.1.3
- Azure Arc Cluster microsoft.openservicemesh Extension versions antérieures à 1.2.6
- Azure Arc Cluster microsoft.videoindexer Extension versions antérieures à 1.1.2
- Azure Compute Gallery
- Azure CycleCloud 8.6.0 versions antérieures à 8.6.1
- Azure Identity Library pour .NET versions antérieures à 1.11.0
- Azure Kubernetes Service Confidential Containers versions antérieures à 0.3.4
- Azure Migrate versions antérieures à 6.1.294.1003
- Azure Monitor Agent versions antérieures à 1.24.0
- Azure Private 5G Core versions antérieures à 2403.0-2

Résumé

De multiples vulnérabilités ont été découvertes dans Microsoft Azure. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Microsoft CVE-2024-28917 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-28917 
Bulletin de sécurité Microsoft CVE-2024-29990 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29990 
Bulletin de sécurité Microsoft CVE-2024-29989 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29989 
Bulletin de sécurité Microsoft CVE-2024-26193 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26193 
Bulletin de sécurité Microsoft CVE-2024-21424 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21424 
Bulletin de sécurité Microsoft CVE-2024-29063 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29063 
Bulletin de sécurité Microsoft CVE-2024-20685 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20685 
Bulletin de sécurité Microsoft CVE-2024-29992 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29992 
Bulletin de sécurité Microsoft CVE-2024-29993 du 09 avril 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29993 
Référence CVE CVE-2024-20685
https://www.cve.org/CVERecord?id=CVE-2024-20685 
Référence CVE CVE-2024-21424
https://www.cve.org/CVERecord?id=CVE-2024-21424 
Référence CVE CVE-2024-26193
https://www.cve.org/CVERecord?id=CVE-2024-26193 
Référence CVE CVE-2024-28917
https://www.cve.org/CVERecord?id=CVE-2024-28917 
Référence CVE CVE-2024-29063
https://www.cve.org/CVERecord?id=CVE-2024-29063 
Référence CVE CVE-2024-29989
https://www.cve.org/CVERecord?id=CVE-2024-29989 
Référence CVE CVE-2024-29990
https://www.cve.org/CVERecord?id=CVE-2024-29990 
Référence CVE CVE-2024-29992
https://www.cve.org/CVERecord?id=CVE-2024-29992 
Référence CVE CVE-2024-29993
https://www.cve.org/CVERecord?id=CVE-2024-29993 

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0291/