Le Bureau fédéral allemand de la sécurité de l’information (BSI) a émis un avertissement concernant plusieurs failles de sécurité affectant divers systèmes d’exploitation et applications.
Voici une liste des produits concernés :
Amazon Linux 2
Red Hat Enterprise Linux
SUSE Linux
Oracle Linux
NetApp ActiveIQ Unified Manager (pour Linux, VMware vSphere et Microsoft Windows)
SUSE openSUSE
IBM Integration Bus
Apache Tomcat (versions 11.0.2, 10.1.34 et 9.0.98)
Open Source GStreamer ExtremeAnalytics SE (version 24.10.13)
Open Source GStreamer ExtremeControl SE (version 24.10.13)
IBM QRadar SIEM (version 7.5.0 UP11 IF01)
Atlassian Confluence Data Center and Server (versions 9.2.1 et 8.5.19)
ATOSS Staff Efficiency Suite
Open Source Camunda (versions 7.20.11, 7.21.8, 7.22.3 et 7.23.0-Alpha4)
Recommandations générales pour gérer les failles de sécurité informatique
Table of Contents
- Recommandations générales pour gérer les failles de sécurité informatique
- Sources de mises à jour, de correctifs et de solutions de contournement
- historique des versions de cet avertissement de sécurité
- Résumé de l’Avertissement de Sécurité du BSI
- Recommandations Générales
- Sources pour Mises à Jour, Correctifs et Solutions de Contournement
- FAQ
- Les utilisateurs des applications concernées doivent les maintenir à jour. Les fabricants sont encouragés à corriger les failles de sécurité dès qu’ils en prennent connaissance, en développant un correctif ou une solution de contournement. Si des correctifs de sécurité sont disponibles, installez-les rapidement.
- Consultez les sources énumérées dans la section suivante pour obtenir des informations. Ces informations contiennent souvent la dernière version du logiciel concerné, la disponibilité des correctifs de sécurité ou des informations sur les solutions de contournement.
- Si vous avez d’autres questions ou incertitudes, contactez votre administrateur responsable. Les responsables de la sécurité informatique doivent vérifier régulièrement les sources mentionnées pour savoir si une nouvelle mise à jour de sécurité est disponible.
Sources de mises à jour, de correctifs et de solutions de contournement
Vous trouverez ci-dessous des liens contenant des informations sur les rapports de bogues, les correctifs de sécurité et les solutions de contournement.
POC CVE-2024-50379 du 24.04.2025
avis de sécurité Amazon Linux ALAS-2025-2829 du 16.04.2025
Avis de sécurité Red Hat RHSA-2025:3683 du 08.04.2025
Avis de sécurité Oracle Linux ELSA-2025-3683 du 08.04.2025
Avis de sécurité Red Hat RHSA-2025:3645 du 07.04.2025
avis de sécurité Red Hat RHSA-2025:3608 du 07.04.2025
Avis de sécurité Red Hat RHSA-2025:3646 du 07.04.2025
Avis de sécurité Red Hat RHSA-2025:3647 du 07.04.2025
Avis de sécurité Red Hat RHSA-2025:3609 du 07.04.2025
Avis de sécurité Oracle Linux ELSA-2025-3645 du 07.04.2025
Avis de sécurité Camunda du 10.03.2025
Avis de sécurité Red Hat RHSA-2025:1920 du 27.02.2025
Actualités de sécurité ATOSS du 23.02.2025
Bulletin de sécurité IBM 7183584 du 18.02.2025
bulletin de sécurité Atlassian du 18.02.2025
mise à jour de sécurité SUSE SUSE-SU-2025:0394-1 du 09.02.2025
Avis de sécurité Amazon Linux ALASTOMCAT9-2025-015 du 26.01.2025
Avis de vulnérabilité ExtremeNetworks SA-2025-007 du 23.01.2025
Avis de sécurité Red Hat RHSA-2025:0343 du 21.01.2025
Avis de sécurité Red Hat RHSA-2025:0342 du 21.01.2025
Avis de sécurité Debian DSA-5845 du 19.01.2025
Avis de sécurité Red Hat RHSA-2025:0361 du 16.01.2025
Avis de sécurité Red Hat RHSA-2025:0362 du 16.01.2025
Avis de sécurité Debian DLA-4017 du 16.01.2025
Bulletin de sécurité IBM 7180700 du 12.01.2025
Mise à jour de sécurité SUSE SUSE-SU-2025:0058-1 du 09.01.2025
Mise à jour de sécurité openSUSE OPENSUSE-SU-2025:14623-1 du 08.01.2025
Mise à jour de sécurité SUSE du 07.01.2025
Avis de sécurité NetApp NTAP-20250103-0003 du 02.01.2025
Base de données d’avis GitHub du 17.12.2024
Base de données d’avis GitHub du 17.12.2024
Liste de diffusion Apache du 17.12.2024
Liste de diffusion Apache du 17.12.2024
historique des versions de cet avertissement de sécurité
Il s’agit de la 21e version de l’avis de sécurité informatique pour Apache Tomcat.Si d’autres mises à jour sont annoncées, ce texte sera mis à jour. Vous pouvez comprendre les modifications apportées en consultant l’historique des versions suivant.
17.12.2024 – Version initiale
18.12.2024 – Adaptation de l’évaluation CVSS à CVE-2024-50379 WG. Complexité de l’attaque “élevée”
02.01.2025 – Nouvelles mises à jour de NetApp enregistrées
07.01.2025 – Nouvelles mises à jour de Suse
08.01.2025 – Nouvelles mises à jour d’OpenSuse enregistrées
09.01.2025 – Nouvelles mises à jour de Suse
12.01.2025 – Nouvelles mises à jour d’IBM enregistrées
16.01.2025 – Debian et Red ont enregistré de nouvelles mises à jour
19.01.2025 – Nouvelles mises à jour de debian enregistrées
21.01.2025 – Nouvelles mises à jour de Red Has enregistrées
23.01.2025 – Nouvelles mises à jour des cérémonies extrêmes enregistrées
26.01.2025 – Nouvelles mises à jour d’Amazon enregistrées
09.02.2025 – Nouvelles mises à jour de Suse
18.02.2025 – Nouvelles mises à jour d’IBM enregistrées
23.02.2025 – Nouvelles mises à jour enregistrées
27.02.2025 – Nouvelles mises à jour de Red has enregistrées
10.03.2025 – Nouvelles mises à jour enregistrées
07.04.2025 – Nouvelles mises à jour d’Oracle Linux et Red ont enregistré
08.04.2025 – Nouvelles mises à jour d’Oracle Linux et Red ont enregistré
16.04.2025 – Nouvelles mises à jour d’Amazon enregistrées
24.04.2025 – POC pour CVE-2024-50379
Résumé de l’Avertissement de Sécurité du BSI
Le bureau fédéral allemand de la sécurité de l’details (BSI) a émis un avertissement concernant plusieurs failles de sécurité affectant divers systèmes d’exploitation et applications.
Produits concernés :
Amazon Linux 2
Red Hat Enterprise Linux
SUSE Linux
Oracle linux
NetApp ActiveIQ Unified Manager (pour Linux, VMware vSphere et Microsoft Windows)
SUSE openSUSE
IBM Integration Bus
Apache Tomcat (versions 11.0.2, 10.1.34 et 9.0.98)
Open Source GStreamer ExtremeAnalytics SE (version 24.10.13)
Open Source GStreamer ExtremeControl SE (version 24.10.13)
IBM QRadar SIEM (version 7.5.0 UP11 IF01)
atlassian Confluence Data Center and Server (versions 9.2.1 et 8.5.19)
ATOSS Staff Efficiency Suite
Open Source Camunda (versions 7.20.11, 7.21.8, 7.22.3 et 7.23.0-Alpha4)
Recommandations Générales
- mise à jour : Mettez à jour les applications concernées. Les fabricants sont encouragés à corriger les failles de sécurité en développant des correctifs ou des solutions de contournement.Installez rapidement les correctifs de sécurité disponibles.
- Information : Consultez les sources détaillées pour obtenir les dernières versions, les correctifs de sécurité ou des solutions de contournement.
- Contact : Contactez votre administrateur responsable pour toute question ou incertitude.Les responsables de la sécurité informatique doivent vérifier régulièrement les sources mentionnées pour connaître les nouvelles mises à jour de sécurité.
Sources pour Mises à Jour, Correctifs et Solutions de Contournement
vous trouverez ci-dessous des liens contenant des informations sur les rapports de bogues, les correctifs de sécurité et les solutions de contournement.
POC CVE-2024-50379 du 24.04.2025
Avis de sécurité Amazon Linux ALAS-2025-2829 du 16.04.2025
Avis de sécurité Red Hat RHSA-2025:3683 du 08.04.2025
avis de sécurité Oracle Linux ELSA-2025-3683 du 08.04.2025
Avis de sécurité Red Hat RHSA-2025:3645 du 07.04.2025
avis de sécurité Red Hat RHSA-2025:3608 du 07.04.2025
Avis de sécurité Red Hat RHSA-2025:3646 du 07.04.2025
Avis de sécurité Red Hat RHSA-2025:3647 du 07.04.2025
Avis de sécurité Red Hat RHSA-2025:3609 du 07.04.2025
Avis de sécurité Oracle Linux ELSA-2025-3645 du 07.04.2025
Avis de sécurité Camunda du 10.03.2025
Avis de sécurité Red Hat RHSA-2025:1920 du 27.02.2025
Actualités de sécurité ATOSS du 23.02.2025
bulletin de sécurité IBM 7183584 du 18.02.2025
bulletin de sécurité Atlassian du 18.02.2025
mise à jour de sécurité SUSE SUSE-SU-2025:0394-1 du 09.02.2025
Avis de sécurité Amazon Linux ALASTOMCAT9-2025-015 du 26.01.2025
avis de vulnérabilité ExtremeNetworks SA-2025-007 du 23.01.2025
Avis de sécurité Red Hat RHSA-2025:0343 du 21.01.2025
Avis de sécurité Red Hat RHSA-2025:0342 du 21.01.2025
Avis de sécurité Debian DSA-5845 du 19.01.2025
Avis de sécurité Red Hat RHSA-2025:0361 du 16.01.2025
Avis de sécurité Red Hat RHSA-2025:0362 du 16.01.2025
Avis de sécurité Debian DLA-4017 du 16.01.2025
Bulletin de sécurité IBM 7180700 du 12.01.2025
Mise à jour de sécurité SUSE SUSE-SU-2025:0058-1 du 09.01.2025
mise à jour de sécurité openSUSE OPENSUSE-SU-2025:14623-1 du 08.01.2025
Mise à jour de sécurité SUSE du 07.01.2025
Avis de sécurité NetApp NTAP-20250103-0003 du 02.01.2025
Base de données d’avis GitHub du 17.12.2024
Base de données d’avis GitHub du 17.12.2024
Liste de diffusion Apache du 17.12.2024
* Liste de diffusion Apache du 17.12.2024
FAQ
Q : quels sont les produits affectés par cet avertissement ?
R : Amazon Linux 2, Red Hat Enterprise Linux, SUSE Linux, Oracle Linux, NetApp ActiveIQ Unified Manager, SUSE openSUSE, IBM Integration Bus, Apache Tomcat, Open Source GStreamer, IBM QRadar SIEM, Atlassian Confluence, ATOSS, et Open Source camunda.
Q : Que dois-je faire si j’utilise l’un de ces produits ?
R : Mettez à jour vos applications concernées en installant les correctifs de sécurité dès qu’ils sont disponibles. Consultez les sources listées pour obtenir des informations sur les mises à jour et les solutions de contournement.
Q : Où puis-je trouver les correctifs de sécurité ?
R : Les correctifs de sécurité et les informations de mise à jour sont disponibles via les liens fournis dans la section “Sources pour mises à Jour,Correctifs et Solutions de contournement”.
Q : Qui puis-je contacter si j’ai des questions ?
R : Contactez votre administrateur responsable ou les responsables de la sécurité informatique de votre organisation.
Q : Quand cet avertissement a-t-il été mis à jour pour la dernière fois ?
R : La dernière mise à jour de l’avis de sécurité pour Apache Tomcat date du 24.04.2025.
