Multiples vulnérabilités dans les produits Elastic (23 janvier 2025)

Risques

Atteinte à la confidentialité des données
Contournement de la politique de sécurité

Systèmes affectés

Fleet Server versions antérieures à 8.15.0
Kibana versions 7.x antérieures à 7.17.23
Kibana versions 8.x antérieures à 8.15.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Elastic. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Elastic ESA-2024-29 et ESA-2024-30 du 22 janvier 2025

https://discuss.elastic.co/t/kibana-8-15-0-security-update-esa-2024-29-esa-2024-30/373521

Bulletin de sécurité Elastic ESA-2024-31 du 22 janvier 2025

https://discuss.elastic.co/t/fleet-server-8-15-0-security-update-esa-2024-31/373522

Bulletin de sécurité Elastic ESA-2024-33 du 23 janvier 2025

https://discuss.elastic.co/t/kibana-7-17-23-8-15-0-security-updates-esa-2024-32-esa-2024-33/373548

Référence CVE CVE-2024-43707

https://www.cve.org/CVERecord?id=CVE-2024-43707

Référence CVE CVE-2024-43708

https://www.cve.org/CVERecord?id=CVE-2024-43708

Référence CVE CVE-2024-43710

https://www.cve.org/CVERecord?id=CVE-2024-43710

Référence CVE CVE-2024-52972

https://www.cve.org/CVERecord?id=CVE-2024-52972

Référence CVE CVE-2024-52975

https://www.cve.org/CVERecord?id=CVE-2024-52975

Avis de sécurité