CERTFR-2022-AVI-004
Vulnerability from certfr_avis

De multiples vulnérabilités ont été découvertes dans SonicWall SonicOS. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

  • SonicOS versions NSa,TZ- 7.0.1-R1456 et antérieures sur les plateformes NSa, TZ et NSsp (GEN7)
  • SonicOS versions NSsp- 7.0.1-5018-R1715 et antérieures sur les plateformes NSa, TZ et NSsp (GEN7)
  • SonicOS versions 7.0.1-5023-1349 et antérieures sur les plateformes NSv (Virtual: GEN7)
  • SonicOS versions antérieures à 6.5.4.9-92n sur les plateformes NSa, TZ, SOHO W et SuperMassive 92xx/94xx/96xx (GEN6+)
  • SonicOS versions 6.5.1.13-1n et antérieures sur les plateformes NSsp 12K et SuperMassive 9800
  • SonicOS versions 6.0.5.3-94o et antérieures sur la plateforme SuperMassive 10k
  • SonicOS versions antérieures à 6.5.4.4-44V-21-1452 sur les plateformes NSv (Virtual: VMWare/Hyper-V/AWS/Azure/KVM), un correctif pour la vulnérabilité CVE-2021-20046 n'est pas encore disponible
  • SonicOS versions 5.9.1.13 et antérieures sur les plateformes NSA, TZ, SOHO (GEN5), ces versions sont en fin de vie et ne recevront pas de correctif

Seules les plateformes NSa, TZ, SOHO W et SuperMassive 92xx/94xx/96xx (GEN6+) disposent d'un correctif pour les deux vulnérabilités mentionnées dans cet avis. SonicWall n'a pas indiqué de date de disponibilité pour les autres.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cul\u003e \u003cli\u003eSonicOS versions\u00a0NSa,TZ-\u00a07.0.1-R1456 et ant\u00e9rieures sur les plateformes\u00a0NSa, TZ et NSsp (GEN7)\u003c/li\u003e \u003cli\u003eSonicOS versions NSsp-\u00a07.0.1-5018-R1715 et ant\u00e9rieures sur les plateformes\u00a0NSa, TZ et NSsp (GEN7)\u003c/li\u003e \u003cli\u003eSonicOS versions 7.0.1-5023-1349 et ant\u00e9rieures sur les plateformes\u00a0NSv (Virtual: GEN7)\u003c/li\u003e \u003cli\u003eSonicOS versions ant\u00e9rieures \u00e0\u00a06.5.4.9-92n sur les plateformes\u00a0NSa, TZ, SOHO W et SuperMassive 92xx/94xx/96xx (GEN6+)\u003c/li\u003e \u003cli\u003eSonicOS versions 6.5.1.13-1n et ant\u00e9rieures sur les plateformes\u00a0NSsp 12K et SuperMassive 9800\u003c/li\u003e \u003cli\u003eSonicOS versions 6.0.5.3-94o et ant\u00e9rieures sur la plateforme\u00a0SuperMassive 10k\u003c/li\u003e \u003cli\u003eSonicOS versions ant\u00e9rieures \u00e0 6.5.4.4-44V-21-1452 sur les plateformes\u00a0NSv (Virtual: VMWare/Hyper-V/AWS/Azure/KVM), un correctif pour la vuln\u00e9rabilit\u00e9\u00a0CVE-2021-20046 n\u0027est pas encore disponible\u003c/li\u003e \u003cli\u003eSonicOS versions 5.9.1.13 et ant\u00e9rieures sur les plateformes\u00a0NSA, TZ, SOHO (GEN5), ces versions sont en fin de vie et ne recevront pas de correctif\u003c/li\u003e \u003c/ul\u003e \u003cp\u003eSeules les plateformes\u00a0NSa, TZ, SOHO W et SuperMassive 92xx/94xx/96xx (GEN6+) disposent d\u0027un correctif pour les deux vuln\u00e9rabilit\u00e9s mentionn\u00e9es dans cet avis. SonicWall n\u0027a pas indiqu\u00e9 de date de disponibilit\u00e9 pour les autres.\u003c/p\u003e ",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2021-20048",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-20048"
    },
    {
      "name": "CVE-2021-20046",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-20046"
    }
  ],
  "initial_release_date": "2022-01-06T00:00:00",
  "last_revision_date": "2022-01-06T00:00:00",
  "links": [],
  "reference": "CERTFR-2022-AVI-004",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-01-06T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans SonicWall SonicOS.\nElles permettent \u00e0 un attaquant de provoquer une ex\u00e9cution de code\narbitraire \u00e0 distance et un d\u00e9ni de service \u00e0 distance.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans SonicWall SonicOS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 SonicWall SNWLID-2021-0028 du 05 janvier 2022",
      "url": "https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0028"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 SonicWall SNWLID-2021-0027 du 05 janvier 2022",
      "url": "https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0027"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.