Veille

Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Injection de code indirecte à distance (XSS) Élévation de privilèges Systèmes affectés Cash Management (Cash Operations) versions S4CORE 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité Host Agent version SAPHOSTAGENT 7.22 sans le dernier correctif de sécurité NetWeaver Application Server ABAP versions KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93 et 9.12 sans le dernier correctif de sécurité NetWeaver Application Server for ABAP and ABAP Platform versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12 et 9.13 sans le dernier correctif de sécurité NetWeaver Application Server Java (Logon Application) version SERVERCORE 7.5 sans le dernier correctif de sécurité NetWeaver AS Java (System Landscape Directory) version LM-SLD 7.5 sans le dernier correctif de sécurité Web Dispatcher versions WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12 et 9.13 sans le dernier correctif de sécurité Résumé De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, un déni de service à distance et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité SAP november-2024 du 12 novembre 2024 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2024.html Référence CVE CVE-2024-42372 https://www.cve.org/CVERecord?id=CVE-2024-42372 Référence CVE CVE-2024-47586 https://www.cve.org/CVERecord?id=CVE-2024-47586 Référence CVE CVE-2024-47587 https://www.cve.org/CVERecord?id=CVE-2024-47587 Référence CVE CVE-2024-47588 https://www.cve.org/CVERecord?id=CVE-2024-47588 Référence CVE CVE-2024-47590 https://www.cve.org/CVERecord?id=CVE-2024-47590 Référence CVE CVE-2024-47592 https://www.cve.org/CVERecord?id=CVE-2024-47592 Référence CVE CVE-2024-47593 https://www.cve.org/CVERecord?id=CVE-2024-47593 Référence CVE CVE-2024-47595 https://www.cve.org/CVERecord?id=CVE-2024-47595

Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Contournement de la politique de sécurité Exécution de code arbitraire Systèmes affectés BeeStation OS versions 1.x antérieures à 1.1-65374 Drive Server pour DSM 7.1 versions antérieures à 3.2.1-23280 Drive Server pour DSM 7.2.1 versions antérieures à 3.5.0-26085 Drive Server pour DSM 7.2.2 versions antérieures à 3.5.1-26102 DSM versions 7.1.x DSM versions 7.2.1.x antérieures à 7.2.1-69057-6 DSM versions 7.2.2.x antérieures à 7.2.2-72806-1 DSMUC versions 3.1.x Replication Service pour DSM 7.1 versions antérieures à 1.2.2-0353 Replication Service pour DSM 7.2 versions antérieures à 1.3.0-0423 L'éditeur indique que les versions correctives pour DSMUC et DSM 7.1 seront publiées sous 30 jours. Résumé De multiples vulnérabilités ont été découvertes dans les produits Synology. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Synology Synology_SA_24_22 du 05 novembre 2024 https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_22 Bulletin de sécurité Synology Synology_SA_24_23 du 05 novembre 2024 https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_23 Bulletin de sécurité Synology Synology_SA_24_20 du 08 novembre 2024 https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_20 Bulletin de sécurité Synology Synology_SA_24_21 du 08 novembre 2024 https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_21

Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Exécution de code arbitraire à distance Systèmes affectés EcoStruxure IT Gateway versions antérieures à 1.23.1.10 Modicon M340 CPU (identifiants BMXP34*) toutes versions Modicon MC80 (identifiants BMKC80) toutes versions Modicon Momentum Unity M1E Processor (identifiants 171CBU*) toutes versions Résumé De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Schneider Electric SEVD-2024-317-02 du 12 novembre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-317-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-317-02.pdf Bulletin de sécurité Schneider Electric SEVD-2024-317-03 du 12 novembre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-317-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-317-03.pdf Bulletin de sécurité Schneider Electric SEVD-2024-317-04 du 12 novembre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-317-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-317-04.pdf Référence CVE CVE-2024-10575 https://www.cve.org/CVERecord?id=CVE-2024-10575 Référence CVE CVE-2024-8933 https://www.cve.org/CVERecord?id=CVE-2024-8933 Référence CVE CVE-2024-8935 https://www.cve.org/CVERecord?id=CVE-2024-8935 Référence CVE CVE-2024-8936 https://www.cve.org/CVERecord?id=CVE-2024-8936 Référence CVE CVE-2024-8937 https://www.cve.org/CVERecord?id=CVE-2024-8937 Référence CVE CVE-2024-8938 https://www.cve.org/CVERecord?id=CVE-2024-8938

Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Déni de service à distance Systèmes affectés OnCommand Insight versions antérieures à 7.3.16 StorageGRID (anciennement StorageGRID Webscale) versions antérieures à 11.9.0 Résumé De multiples vulnérabilités ont été découvertes dans les produits NetApp. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité NetApp NTAP-20241108-0001 du 08 novembre 2024 https://security.netapp.com/advisory/ntap-20241108-0001/ Bulletin de sécurité NetApp NTAP-20241108-0002 du 08 novembre 2024 https://security.netapp.com/advisory/ntap-20241108-0002/ Référence CVE CVE-2010-4756 https://www.cve.org/CVERecord?id=CVE-2010-4756 Référence CVE CVE-2017-20162 https://www.cve.org/CVERecord?id=CVE-2017-20162 Référence CVE CVE-2017-20189 https://www.cve.org/CVERecord?id=CVE-2017-20189 Référence CVE CVE-2018-9466 https://www.cve.org/CVERecord?id=CVE-2018-9466 Référence CVE CVE-2021-20086 https://www.cve.org/CVERecord?id=CVE-2021-20086 Référence CVE CVE-2021-23358 https://www.cve.org/CVERecord?id=CVE-2021-23358 Référence CVE CVE-2021-3377 https://www.cve.org/CVERecord?id=CVE-2021-3377 Référence CVE CVE-2021-36770 https://www.cve.org/CVERecord?id=CVE-2021-36770 Référence CVE CVE-2022-24785 https://www.cve.org/CVERecord?id=CVE-2022-24785 Référence CVE CVE-2022-31129 https://www.cve.org/CVERecord?id=CVE-2022-31129 Référence CVE CVE-2022-3715 https://www.cve.org/CVERecord?id=CVE-2022-3715 Référence CVE CVE-2023-22067 https://www.cve.org/CVERecord?id=CVE-2023-22067 Référence CVE CVE-2023-22081 https://www.cve.org/CVERecord?id=CVE-2023-22081 Référence CVE CVE-2023-24998 https://www.cve.org/CVERecord?id=CVE-2023-24998 Référence CVE CVE-2023-26159 https://www.cve.org/CVERecord?id=CVE-2023-26159 Référence CVE CVE-2023-2976 https://www.cve.org/CVERecord?id=CVE-2023-2976 Référence CVE CVE-2023-33850 https://www.cve.org/CVERecord?id=CVE-2023-33850 Référence CVE CVE-2023-37466 https://www.cve.org/CVERecord?id=CVE-2023-37466 Référence CVE CVE-2023-37903 https://www.cve.org/CVERecord?id=CVE-2023-37903 Référence CVE CVE-2023-38552 https://www.cve.org/CVERecord?id=CVE-2023-38552 Référence CVE CVE-2023-39331 https://www.cve.org/CVERecord?id=CVE-2023-39331 Référence CVE CVE-2023-39332 https://www.cve.org/CVERecord?id=CVE-2023-39332 Référence CVE CVE-2023-39333 https://www.cve.org/CVERecord?id=CVE-2023-39333 Référence CVE CVE-2023-44483 https://www.cve.org/CVERecord?id=CVE-2023-44483 Référence CVE CVE-2023-46749 https://www.cve.org/CVERecord?id=CVE-2023-46749 Référence CVE CVE-2023-46750 https://www.cve.org/CVERecord?id=CVE-2023-46750 Référence CVE CVE-2023-51775 https://www.cve.org/CVERecord?id=CVE-2023-51775 Référence CVE CVE-2023-5363 https://www.cve.org/CVERecord?id=CVE-2023-5363 Référence CVE CVE-2023-5676 https://www.cve.org/CVERecord?id=CVE-2023-5676 Référence CVE CVE-2024-20918 https://www.cve.org/CVERecord?id=CVE-2024-20918 Référence CVE CVE-2024-20919 https://www.cve.org/CVERecord?id=CVE-2024-20919 Référence CVE CVE-2024-20921 https://www.cve.org/CVERecord?id=CVE-2024-20921 Référence CVE CVE-2024-20926 https://www.cve.org/CVERecord?id=CVE-2024-20926 Référence CVE CVE-2024-20945 https://www.cve.org/CVERecord?id=CVE-2024-20945 Référence CVE CVE-2024-20952 https://www.cve.org/CVERecord?id=CVE-2024-20952 Référence CVE CVE-2024-21634 https://www.cve.org/CVERecord?id=CVE-2024-21634 Référence CVE CVE-2024-21994 https://www.cve.org/CVERecord?id=CVE-2024-21994 Référence CVE CVE-2024-25041 https://www.cve.org/CVERecord?id=CVE-2024-25041 Référence CVE CVE-2024-25053 https://www.cve.org/CVERecord?id=CVE-2024-25053