Alertes

Vulnérabilité critique dans Windows DNS Server

Une vulnérabilité critique a été identifiée dans le service Windows DNS Server. Elle peut permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire à distance.

Cette vulnérabilité (CVE-2020-1350 [Score CVSS v3 : 10]) se situe dans le code qui analyse les réponses à des requêtes DNS. Elle peut être exploitée par un attaquant qui aurait le contrôle d'un serveur DNS ayant autorité sur un nom de domaine Internet. En construisant une réponse, dans un format particulier, à une requête légitime émise par un serveur Microsoft DNS Server, l'attaquant peut provoquer un dépassement de tampon (buffer overflow) au niveau du service Microsoft DNS Server.

Un correctif est disponible et il est recommandé de l’installer dans les plus brefs délais.

/!\ Un code d'exploitation permettant de provoquer un déni de service est disponible publiquement pour cette vulnérabilité. /!\

Présence d'une vulnérabilité critique dans Oracle Java SE Java DB

Une vulnérabilité du sous-composant Java DB de Java SE pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire et de compromettre complètement un système ciblé.

Il est conseillé de restreindre l'accès au réseau pour les sources non fiables dans les environnements impactés afin de compliquer l'exploitation de cette vulnérabilité.

Informations

Impact

Exécution de code arbitraire à distance

Criticité

CVSS v3 : 9.0

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Java SE 6 (u191) et 8 (u172)
Java SE embarqué 7 (u181)

CVE

CVE-2018-2938

Recommandations

Correctifs

Oracle a publié des mises à jour logicielles sur le lien suivant: Téléchargements Oracle

Solution de contournement

Il n’existe pas actuellement de solution de contournement.

Liens

Avis Cisco