Mises à jour sur la sécurité des produits

{{searchText ? ' for "' : ''}}{{searchText}}{{searchText ? '"' : ''}}

Notification de vulnérabilité critique : CVE-2016-2183 couvrant la vulnérabilité OpenSSL  

Mis à jour 17 septembre 2024

CONTEXTE

Les chiffrements DES et Triple DES utilisés dans les protocoles TLS, SSH et IPSec peuvent permettre aux pirates à distance de recueillir des données en texte clair contre une session chiffrée de longue durée. Pour en savoir plus, veuillez consulter les documents suivants : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183.

PRODUITS CEPHEID AFFECTÉS

Les clients Infinity qui utilisent le logiciel GeneXpert Xpertise 6.8 sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Cepheid recommande que cette mise à jour soit mise en œuvre par le service des TI de votre organisation.

Veuillez suivre les étapes ci-dessous pour appliquer le correctif :

1. Sur le système où le correctif doit être installé, dans la barre de recherche Windows, entrez « Windows Power Shell » et ouvrez-le en tant qu’administrateur
2. Entrez la commande Disable-TlsCipherSuite -Name 'TLS_RSA_WITH_3DES_EDE_CBC_SHA' dans la fenêtre Windows PowerShell
3. Appuyez sur le bouton Entrée de votre clavier 

Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Notification de vulnérabilité critique : CVE-2013-3900

Mis à jour 17 septembre 2024

CONTEXTE

CVE-2013-3900 est une vulnérabilité WinVerifyTrust qui affecte un système à distance et peut mener à la réception de demandes spécialement conçues. Pour plus d’informations, veuillez vous reporter à ce qui suit : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3900.

PRODUITS CEPHEID AFFECTÉS

Les clients Infinity qui utilisent le logiciel GeneXpert Xpertise 6.8 sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Avant de mettre à jour le fichier de registre Windows, Cepheid vous recommande fortement de travailler avec votre groupe informatique ou votre représentant pour vous assurer que la mise à jour est effectuée d’une manière qui n’affecte pas le fonctionnement du système. Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Cepheid recommande fortement de sauvegarder le registre et les données des résultats de tests ou la base de données. Pour savoir comment arrêter le logiciel et sauvegarder les données des résultats de tests, veuillez consulter le manuel d’utilisation.

Une fois la sauvegarde du registre et de la base de données ou des données de tests terminée, veuillez suivre les étapes ci-dessous :

1. Ouvrez « Éditeur de registre », allez à l’emplacement ci-dessous et apportez les modifications comme ci-dessous.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]

"EnableCertPaddingCheck"="1"

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]

"EnableCertPaddingCheck"="1"

Détection du 1,0 protocole de la version TLS et (4) Avis de protocole faible de la version 1,1 de TLS   

Mis à jour 17 septembre 2024

CONTEXTE

Le serveur à distance accepte les connexions chiffrées à l’aide de TLS1,0, qui comporte un certain nombre de défauts de conception cryptographiques et le serveur à distance offre également TLS obsolète1,1, qui sont tous deux atténués par les versions plus récentes TLS 1,2 et 1,3.

Pour en savoir plus, veuillez consulter les documents suivants :

• https://www.tenable.com/plugins/nessus/104743
• https://www.tenable.com/plugins/was/112546

PRODUITS CEPHEID AFFECTÉS

Les clients Infinity qui utilisent le logiciel GeneXpert Xpertise 6.8 sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Veuillez activer le soutien pour TLS 1,2 et 1,3 pendant la désactivation de TLS 1,0 ou 1,1 qui consiste en une mise à jour du registre Windows.

Avant de mettre à jour le fichier de registre Windows, Cepheid vous recommande fortement de travailler avec votre groupe informatique ou votre représentant pour vous assurer que la mise à jour est effectuée d’une manière qui n’affecte pas le fonctionnement du système. Cepheid recommande fortement de sauvegarder le registre et les données des résultats de tests ou la base de données. Pour savoir comment arrêter le logiciel et sauvegarder les données des résultats de tests, veuillez consulter le manuel d’utilisation.

Une fois la sauvegarde du registre et de la base de données ou des données de tests terminée, veuillez suivre les étapes ci-dessous :

Étapes à suivre pour appliquer ceci.                                           

1. Recherchez « Éditeur de registre » dans la barre de recherche de Windows. 
2. Naviguez jusqu’au chemin ci-dessous. Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurityProviders\SCHANNEL\Protocols                                                                
3. Sous Protocoles, créez deux structures de clés (dossiers) pour TLS 1,0 et TLS 1,1. Remarque : Cliquez avec le bouton droit de la souris sur Protocoles pour créer une nouvelle clé.
4. Sous chaque dossier TLS, créez deux autres clés (dossiers) en tant que client et serveur
5. Cliquez sur le dossier du client, dans l’espace vide RHS, cliquez avec le bouton droit et sélectionnez l’option NEW-DWORD.
6. Renommez à « Activé » et la valeur devrait être réglée à « 0 ». Remarque : Les mêmes valeurs doivent être créées pour TLS 1,0 et TLS 1,1, ainsi que pour les dossiers client et serveur.
7. Fermez l’éditeur.
8. Ouvrez le gestionnaire de configuration SQL Server.
9. Cliquez sur l’option SQL Server Services.
10. Arrêtez et démarrez le service SQL Server (MSSQLSERVER).
11. Fermez l'application gestionnaire de configuration SQL Server.
12. Téléchargez l’outil Nmap de Google et installez-le dans le système.
13. Ouvrez l’invite de commande et entrez la commande ci-dessous : nmap -script ssl-enum-ciphers -p 1433 localhost
14. Appuyez sur la touche Entrée du clavier.
15. Vérifiez que seul TLS 1,2 et supérieur est affiché dans l'invite de commande.

Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Version non prise en charge de Microsoft SQL Server

Mis à jour 17 septembre 2024

CONTEXTE

L’installation d’un numéro de version particulier de Microsoft SQL n’est plus prise en charge, ce qui n’entraîne aucun nouveau correctif de sécurité pour le produit. Les installations non prises en charge suivantes de Microsoft SQL Server ont été détectées :

  Version installée : 13.0.4259.0 Édition Express

  Chemin d’installation : C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\Binn

  Instance : MSSQLSERVER

  Version minimale prise en charge : 13.0.6300.2 (2016 SP3)

PRODUITS CEPHEID AFFECTÉS

Les clients Infinity qui utilisent le logiciel GeneXpert Xpertise 6.8 sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Veuillez passer à une version de Microsoft SQL actuellement prise en charge. La bonne version de Microsoft SQL à télécharger est disponible : https://www.microsoft.com/en-us/download/details.aspx?id=103440. 

L’article de base de connaissances de Microsoft avec des renseignements sur les mises à jour est disponible ici : https://learn.microsoft.com/en-us/troubleshoot/sql/releases/sqlserver-2016/servicepack3.

Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Authentification Microsoft Windows LM / NTMv1 activée

Mis à jour 17 septembre 2024

CONTEXTE

L’hôte distant est configuré pour tenter LM et/ou NTLMv1 pour l’authentification sortante, et ces protocoles utilisent un chiffrement faible. Un attaquant à distance capable de lire les paquets de test de provocation et de réponse LM ou NTLMv1 pourrait en tirer parti pour obtenir le hachage LM ou NTLM d’un utilisateur, ce qui permet à un attaquant de s’authentifier en tant qu’utilisateur. Pour en savoir plus, veuillez consulter les documents suivants : https://www.tenable.com/plugins/nessus/63478.

PRODUITS CEPHEID AFFECTÉS

Les clients Infinity qui utilisent le logiciel GeneXpert Xpertise 6.8 sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Avant de mettre à jour le fichier de registre Windows, Cepheid vous recommande fortement de travailler avec votre groupe informatique ou votre représentant pour vous assurer que la mise à jour est effectuée d’une manière qui n’affecte pas le fonctionnement du système. Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Cepheid recommande fortement de sauvegarder le registre et les données des résultats de tests ou la base de données. Pour savoir comment arrêter le logiciel et sauvegarder les données des résultats de tests, veuillez consulter le manuel d’utilisation.

Une fois la sauvegarde du registre et de la base de données ou des données de tests terminée, veuillez suivre les étapes ci-dessous :

1. Sur le système où le correctif doit être installé, dans la barre de recherche Windows, entrez « Éditeur de registre » et ouvrez l'Éditeur de registre.
2. Allez à l'emplacement HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel et mettez à jour le niveau de compatibilité LmLevel à « 1 ».

Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Notification de vulnérabilité critique : CVE-2024-21409 – Notification de mise à jour du cadriciel .NET

Mis à jour 17 septembre 2024

CONTEXTE

L’installation de Microsoft .NET Framework sur l’hôte distant n’a pas de mise à jour de sécurité et est affectée par la vulnérabilité d’exécution du code à distance. Vous trouverez des renseignements supplémentaires sur la page Web de Microsoft ou dans la base de données nationale sur les vulnérabilités :

•  https://support.microsoft.com/en-us/topic/april-9-2024-kb5036618-cumulative-update-for-net-framework-3-5-and-4-8-1-for-windows-10-version-21h2-and-windows-10-version-22h2-31736446-01da-4bdb-b20d-81daf3db1e33
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21409

PRODUITS CEPHEID AFFECTÉS

Les clients Dx qui utilisent le 6,5 logiciel GeneXpert Dx sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Veuillez télécharger les mises à jour suivantes concernant Windows 22H2 pour Windows 10 Pro ou Windows 22H2 pour Windows 10 IoT LTSC.

https://catalog.update.microsoft.com/Search.aspx?q=5036618

Microsoft a annoncé la date de 14 octobre 2025 fin du soutien pour Windows 10 Pro, et Cepheid recommande une mise à niveau vers Windows 10 IoT Enterprise LTSC 2021. Si vous avez des questions ou des préoccupations, veuillez communiquer avec l’équipe de soutien technique de Cepheid ou votre représentant local.

Notification de mise à jour Java

Mis à jour 17 septembre 2024

CONTEXTE

Les versions 8u401, 20.3.13, 21.3.9, 11.0.23, 17.0.11, 21.0.3 22 et perf de Java installées sur l’hôte distant sont affectées par de multiples vulnérabilités. Pour plus d’informations, un avis de mise à jour des correctifs critiques peut être consulté ici : https://www.oracle.com/security-alerts/cpuapr2024.html.

Les CVE suivants sont visés : CVE-2023-32643, CVE-2023-41993, CVE-2024-20954, CVE-2024-21002, CVE-2024-21003, CVE-2024-21004, CVE-2024-21005, CVE-2024-21011, CVE-2024-21012, CVE-2024-21068, CVE-2024-21085, CVE-2024-21094, CVE-2024-21098, CVE-2024-21892

PRODUITS CEPHEID AFFECTÉS

Les clients Dx qui utilisent le 6,5 logiciel GeneXpert Dx sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Veuillez effectuer la mise à niveau vers la dernière version corrigée de Java 8 disponible en cliquant sur le lien ci-dessous. Un redémarrage de l’OP ou de l’ordinateur portable peut être nécessaire.

https://www.java.com/en/download/

Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Apache Log4j 2.16.0 Notification de mise à niveau de la version 2.16.0 de Log4j d’Apache 

Mis à jour 17 septembre 2024

CONTEXTE

Log4j d’Apache1,2 est touché par une vulnérabilité d’exécution de code à distance lorsqu’il est configuré pour utiliser JMSAppender.

Les CVE suivants sont visés : CVE-2021-4104, CVE-2019-17571, CVE-2020-9488, CVE-2022-23302, CVE-2022-23305, CVE-2022-23307, CVE-2023-26464.

PRODUITS CEPHEID AFFECTÉS

Les clients Dx qui utilisent le 6,5 logiciel GeneXpert Dx sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Veuillez vous assurer d’avoir appliqué le correctif KB5011644 pour Microsoft SQL Server afin de supprimer la version 1.2.17 de Log4j et de permettre à votre système d’être entièrement protégé contre cette vulnérabilité. Le bon lien se trouve ci-dessous et vous pouvez cliquer sur « Télécharger » pour continuer.

https://www.catalog.update.microsoft.com/Search.aspx?q=KB5011644

Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Notification de vulnérabilité critique : CVE-2024-4761

Mis à jour 17 septembre 2024

CONTEXTE

CVE-2024-4761 est une vulnérabilité ayant un impact sur Microsoft Edge qui peut amener un tiers distant à effectuer une écriture en mémoire hors limites par l’intermédiaire d’une page HTML créée. Pour en savoir plus, veuillez consulter les documents suivants : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4761.

PRODUITS CEPHEID AFFECTÉS

Les clients Dx qui utilisent le 6,5 logiciel GeneXpert Dx sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Vérifiez la version actuelle de Microsoft Edge pour vous assurer qu’il s’agit de la version 124.0.2478.105 de Microsoft Edge ou d’une version ultérieure. Veuillez noter que l’autorisation des mises à jour de sécurité de Microsoft Windows activera automatiquement le correctif pour les clients concernés. Pour obtenir de plus amples renseignements sur la façon de déterminer la version de Microsoft Edge de votre système, veuillez consulter votre groupe informatique ou suivre les politiques de gouvernance des TI de votre organisation. Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Notification de vulnérabilité critique : CVE-2016-2183

Mis à jour 17 septembre 2024

CONTEXTE

CVE-2016-2183 concerne les chiffrements par blocs dans les protocoles SSL/TLS avec un certain nombre de défauts de conception cryptographiques, et sous des configurations spécifiques, une attaque de collision est possible. Pour en savoir plus, veuillez consulter les documents suivants : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183.

PRODUITS CEPHEID AFFECTÉS

Les clients Dx qui utilisent le 6,5 logiciel GeneXpert Dx sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Veuillez activer le soutien pour TLS 1,2 et/ou tout 1,3 en désactivant simultanément le soutien pour TLS 1,0 et/ou 1,1 pour atténuer ce problème en tant que versions plus récentes de TLS 1,2 et 1,3 sont conçues pour vous protéger contre ces défauts. Pour activer le soutien :

1. Allez à Panneau de configuration et recherchez Propriétés Internet
2. Aller à l’onglet Avancé
3. Décochez la 1,1 case TLS 1,0 et/ou TLS
4. Cochez la 1,3 case TLS 1,2 et/ou TLS

Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Vulnérabilité critique associée aux autorisations Windows

Mis à jour 17 septembre 2024

CONTEXTE

Le service Windows exécutable avec des autorisations non sécurisées sur l’hôte distant peut permettre à un utilisateur non privilégié d’écraser potentiellement avec un code arbitraire, ce qui entraîne une escalade des privilèges. Pour en savoir plus, veuillez consulter les documents suivants : https://www.tenable.com/plugins/nessus/65057.

PRODUITS CEPHEID AFFECTÉS

Les clients Dx qui utilisent le 6,5 logiciel GeneXpert Dx sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Cepheid recommande que cette mise à jour soit mise en œuvre par le service des TI de votre organisation.

Veuillez vous assurer que les groupes suivants n'ont pas les autorisations nécessaires pour modifier ou écrire des fichiers exécutables de service contenant des exécutables de service :

• Tout le monde
• Utilisateurs
• Utilisateurs de domaine
• Utilisateurs authentifiés

Pour obtenir des renseignements plus détaillés sur les étapes liées à cette mise à jour, veuillez communiquer avec le soutien technique de Cepheid.

Notification de vulnérabilité critique : CVE-2023-36728  

Mis à jour 15 juillet 2024

CONTEXTE

CVE-2023-36728 est une vulnérabilité ayant un impact sur SQL qui peut entraîner un déni de service en raison de l’installation de Microsoft SQL Server sur un hôte distant à qui il manque une mise à jour de sécurité. Pour de plus amples renseignements, veuillez consulter ce qui suit : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36728.

PRODUITS CEPHEID AFFECTÉS

GeneXpert Xpress clients qui utilisent le logiciel GeneXpert Xpress 6.4a sont touchés.

ACTIONS REQUISES PAR LES CLIENTS 

Veuillez vous assurer d’avoir mis à jour la version pertinente de SQL Server ci-dessous, ce qui permettrait à votre système d’être entièrement protégé contre cette vulnérabilité. Le bon lien se trouve ci-dessous et vous pouvez cliquer sur « Télécharger » pour continuer : 

https://www.catalog.update.microsoft.com/Search.aspx?q=KB5029376

Cepheid recommande fortement de sauvegarder les données des résultats de tests ou la base de données avant l’installation du correctif. Pour obtenir des instructions sur la façon d’arrêter le logiciel et de sauvegarder les données des résultats de tests, veuillez consulter le manuel de l’utilisateur. Pour obtenir de plus amples renseignements sur l’installation, veuillez consulter votre groupe informatique ou suivre les politiques de gouvernance des TI de votre organisation. Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid. 

Notification de vulnérabilité critique : CVE-2013-3900  

Mis à jour 15 juillet 2024

CONTEXTE

CVE-2013-3900 est une vulnérabilité WinVerifyTrust qui affecte un système à distance et peut entraîner la réception de demandes spécialement conçues. 

PRODUITS CEPHEID AFFECTÉS

GeneXpert Xpress clients qui utilisent le logiciel GeneXpert Xpress 6.4a sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Avant de mettre à jour le fichier de registre Windows, Cepheid vous recommande fortement de travailler avec votre groupe informatique ou votre représentant pour vous assurer que la mise à jour est effectuée d’une manière qui n’affecte pas le fonctionnement du système. Si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Cepheid recommande fortement de sauvegarder le registre et les données des résultats de tests ou la base de données. Pour savoir comment arrêter le logiciel et sauvegarder les données des résultats de tests, veuillez consulter le manuel d’utilisation.

Une fois la sauvegarde du registre et de la base de données ou les données de test terminées, veuillez ajouter et activer la valeur du registre EnableCertPaddingCheck :

• HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config\EnableCertPaddingCheck

Pour les systèmes 64 Bit OS, veuillez ajouter et activer la valeur de registre EnableCertPaddingCheck :

• HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config\EnableCertPaddingCheck 

Vous trouverez de plus amples renseignements sur la façon de mettre à jour les clés du registre ici :
https://learn.microsoft.com/en-us/answers/questions/1182542/cve-2013-3900-winverifytrust-signature-validation

Avis de mise à jour de version d’Internet Explorer et Adobe Reader  

Mis à jour 15 juillet 2024

CONTEXTE 

Cette notification a pour but de vous informer des mises à jour de configuration recommandées pour les programmes de votre système. 

Adobe Reader : Adobe a publié une mise à jour planifiée de Reader en 2024. 

Internet Explorer : Microsoft a mis fin au soutien pour Internet Explorer en date du 15 juin 2022

PRODUITS CEPHEID AFFECTÉS

GeneXpert Xpress clients qui utilisent le logiciel GeneXpert Xpress 6.4a sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Pour Adobe Reader, veuillez vous assurer que les dernières mises à jour d’Adobe Reader sont téléchargées. Après avoir lancé Reader, choisissez « Aide » > « Vérifier les mises à jour » et suivez les étapes de la fenêtre de mise à jour pour télécharger et installer les dernières mises à jour. Les installateurs peuvent également se trouver ici : https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/classic/dcclassic20.005feb2024.html.

Pour Internet Explorer, veuillez effectuer les modifications de configuration suivantes sur votre système :

1. Sélectionnez la touche de logo Windows+R.
2. Dans Exécuter, entrez OptionalFeatures.exe, puis sélectionnez OK.
3. Dans la boîte de dialogue Windows Features, décochez la case correspondant à la version installée d’Internet Explorer. Par exemple, recherchez Internet Explorer 11, puis décochez sa case.
4. Sélectionnez OK.
5. Redémarrez l’ordinateur.

Si vous utilisez toujours Windows 7 ou si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.

Notification de vulnérabilité critique : CVE-2023-36042 vulnérabilité du cadre .NET en cas de déni de service  

Mis à jour 22 mai 2024

CONTEXTE

CVE-2023-36042 est une vulnérabilité qui affecte le cadre .NET 3.5 et 4.8 qui peut entraîner un déni de service. Pour en savoir plus, veuillez consulter les documents suivants : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36042. 

PRODUITS CEPHEID AFFECTÉS

Les clients Infinity qui utilisent le logiciel GeneXpert Xpertise 6.8 sont touchés.

ACTIONS REQUISES PAR LES CLIENTS 

Veuillez vous assurer que vous avez téléchargé la mise à jour de sécurité du 2024 janvier de Microsoft Windows, qui permettra à votre système d’être entièrement protégé contre cette vulnérabilité. Les clients ayant des mises à jour automatiques n’ont pas besoin de prendre d’autres mesures.

Si vous n’avez pas encore automatisé les mises à jour de Windows, sélectionnez Démarrer > Paramètres > Mise à jour et sécurité > Mise à jour Windows, puis sélectionnez « Rechercher les mises à jour ». 

Cepheid recommande vivement de sauvegarder les données des résultats de test ou la base de données à l’aide de l’application Xpertise avant d’installer le correctif. Pour savoir comment arrêter le logiciel Xpertise et sauvegarder les données de résultats de test, veuillez consulter le manuel d’utilisation. Pour plus de renseignements concernant l’installation, veuillez consulter votre groupe informatique ou suivre les politiques de gouvernance informatique de votre organisation.

Si vous utilisez toujours Windows 7 ou si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.  

Mise à jour 5033372 de sécurité Windows 10   

Mis à jour 22 mai 2024

CONTEXTE

Le présent avis a pour but de vous informer que Cepheid a validé de la mise à jour 5033372 de sécurité Microsoft pour prendre en charge la construction du système d’exploitation Windows. 

PRODUITS CEPHEID AFFECTÉS

Les clients Infinity qui utilisent le logiciel GeneXpert Xpertise 6.8 sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Veuillez vous assurer que vous avez téléchargé la dernière mise à jour de sécurité de Microsoft Windows qui permettra à votre système d’être entièrement protégé contre cette vulnérabilité. Les clients ayant des mises à jour automatiques n’ont pas besoin de prendre d’autres mesures.

Si vous n’avez pas encore automatisé les mises à jour de Windows, sélectionnez Démarrer > Paramètres > Mise à jour et sécurité > Mise à jour Windows, puis sélectionnez « Rechercher les mises à jour ». 

Cepheid recommande vivement de sauvegarder les données des résultats de test ou la base de données à l’aide de l’application Xpertise avant d’installer le correctif. Pour savoir comment arrêter le logiciel Xpertise et sauvegarder les données de résultats de test, veuillez consulter le manuel d’utilisation. Pour plus de renseignements concernant l’installation, veuillez consulter votre groupe informatique ou suivre les politiques de gouvernance informatique de votre organisation.

Si vous utilisez toujours Windows 7 ou si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.  

Notification de vulnérabilité critique : CVE-2011-1353  

Mis à jour 22 mai 2024

CONTEXTE 

CVE-2011-1353 est une vulnérabilité qui réside dans Adobe Reader 10.x avant 10.1.1 sur Windows et qui permet à des utilisateurs locaux d’obtenir potentiellement des privilèges au moyen de vecteurs inconnus. Pour en savoir plus, veuillez consulter les documents suivants : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1353. 

PRODUITS CEPHEID AFFECTÉS

Les clients Infinity qui utilisent le logiciel GeneXpert Xpertise 6.8 sont touchés.

ACTIONS REQUISES PAR LES CLIENTS

Veuillez vous assurer que les dernières mises à jour d’Adobe Reader sont téléchargées. Après avoir lancé Reader, choisissez « Aide » > « Vérifier les mises à jour » et suivez les étapes de la fenêtre de mise à jour pour télécharger et installer les dernières mises à jour. 

Cepheid recommande vivement de sauvegarder les données des résultats de test ou la base de données à l’aide de l’application Xpertise avant d’installer le correctif. Pour savoir comment arrêter le logiciel Xpertise et sauvegarder les données de résultats de test, veuillez consulter le manuel d’utilisation. Pour plus de renseignements concernant l’installation, veuillez consulter votre groupe informatique ou suivre les politiques de gouvernance informatique de votre organisation.

Si vous utilisez toujours Windows 7 ou si vous avez des questions ou des préoccupations, veuillez communiquer avec le soutien technique de Cepheid.  

Notification de vulnérabilité critique : CVE-2023-4863 Débordement du tampon Heap dans libwebp dans Google Chrome avant 116.0.5845.187 et libwebp 1.3.2

Mis à jour 5 décembre 2023

CONTEXTE

La La National Vulnerability Database suit la vulnérabilité iCVE-2023-4863 qui réside dans le logiciel Open Source Chromium (OSS) et est utilisé pour rendre les images webp. La bibliothèque est largement intégrée aux navigateurs Web qui utilisent la bibliothèque libsebp, y compris Microsoft Edge, Google Chrome et Mozilla Firefox. Cette vulnérabilité permet à un attaquant distant d’effectuer une écriture de mémoire hors limites par l’intermédiaire d’une page HTML élaborée, ce qui peut entraîner l’exécution d’un code susceptible de compromettre les systèmes.

PRODUITS CEPHEID AFFECTÉS

Le navigateur par défaut utilisé sur les produits Cepheid est Microsoft Internet Explorer ou Edge. Cepheid n'expédie pas ses produits avec les navigateurs web Google Chrome ou Firefox et Microsoft Internet Explorer n’est pas concerné par cette vulnérabilité. En outre, les manuels d’utilisation de nos logiciels contiennent des instructions interdisant d’installer des applications non standard ou de modifier les paramètres des applications par défaut livrées avec les ordinateurs ou les tablettes.

ACTIONS REQUISES PAR LES CLIENTS

Supprimer et cesser d’utiliser tout navigateur web non autorisé, y compris Google Chrome ou Firefox. Vérifier la version actuelle de Microsoft Edge pour vous assurer qu’il s’agit de la version 117.0.2045.31 de Microsoft Edge (Stable) ou d’une version ultérieure. Veuillez noter que l’autorisation des mises à jour de sécurité de Microsoft Windows activera automatiquement le correctif pour les clients concernés. Pour plus de renseignements sur la manière de déterminer la version de Microsoft Edge de votre système, veuillez consulter votre groupe informatique ou suivre les politiques de gouvernance informatique de votre organisation.

Si vous avez des questions ou des préoccupations, veuillez communiquer avec le service de support technique de Cepheid ou l’un des numéros de téléphone/l’une des adresses électroniques de votre région.

Service Pack 3 Microsoft SQL Server 2016 sur le système d’exploitation Windows 10 exécutant le logiciel GeneXpert Xpertise 6.8 sur les systèmes Infinity

Mis à jour 5 décembre 2023

CONTEXTE

 Le présent avis a pour but de vous informer que Cepheid a validé le Microsoft SQL Server 2016 Service Pack 3 (KB5003279) pour les clients Infinity qui utilisent le logiciel GeneXpert Xpertise 6.8.

 ACTIONS REQUISES PAR LES CLIENTS

Le Microsoft SQL Server 2016 Service Pack 3 suivant peut être installé en toute sécurité sur le système exécutant le logiciel GeneXpert Xpertise 6.8 :

• MS SQL Server 2016 Service Pack 3 (KB5003279) de https://www.microsoft.com/en-us/download/details.aspx?id=103440

Cepheid recommande d’arrêter le logiciel Xpertise avant d’exécuter le correctif. Une sauvegarde de la base de données à l’aide de l’application Xpertise avant l’installation du correctif est également fortement recommandée. Pour obtenir des instructions sur la façon d’arrêter le logiciel Xpertise et de sauvegarder le logiciel Xpertise et les données utilisateur, veuillez consulter le manuel d’utilisation Pour plus de renseignements concernant l’installation, veuillez consulter votre groupe informatique ou suivre les politiques de gouvernance informatique de votre organisation.

Fin de la prise en charge de la cybersécurité Windows 7 pour GeneXpert® Systems

Mis à jour 30 juin 2023

CONTEXTE

Microsoft a mis fin à la prise en charge du système 7 d’exploitation Windows (OS) le janvier, ce qui a interrompu les correctifs et les mises à jour. Par conséquent, Cepheid n’est plus en mesure de prendre en charge les normes les plus récentes en matière de cybersécurité et de protection de la vie privée sur les ordinateurs Windows 7 OS. Le logiciel de votre instrument et les tests en cours continueront à fonctionner avec le système d’exploitation Windows 7 OS. Cependant, à compter de 30 juin 2023, toutes les futures versions du logiciel GeneXpert Dx, Infinity Xpertise ou Xpert Check (les systèmes GeneXpert) ne seront pas compatibles avec Windows 7 OS.

Pour en savoir plus, veuillez consulter ici

Log4Shell (Apache Log4j)

Mise à jour le 8 juillet 2022

CONTEXTE

Le 10 décembre 2021, une vulnérabilité critique (CVE-2021-44228) a été signalée dans Apache Log4j. La vulnérabilité a un impact sur plusieurs versions de l’utilitaire Apache Log4j et sur les applications qui l’utilisent.
La vulnérabilité permet à un pirate d’exécuter un code arbitraire.

RÉPONSE

Les équipes de Cepheid ont analysé et traité avec succès le risque potentiel pour la sécurité de notre portefeuille de produits, sous la forme d’un correctif logiciel révisé. Une communication a été envoyée à tous les clients qui pourraient bénéficier du correctif logiciel, décrivant le processus de demande de correctif. Les clients sont encouragés à demander le correctif pour une expérience utilisateur plus sécuritaire.

Les personnes ou les organisations ayant des préoccupations supplémentaires en matière de sécurité des produits sont encouragées à communiquer avec leur équipe de soutien technique de Cepheid locale au techsupport@cepheid.com ou par courriel à l’adresse productsecurity@cepheid.com.

Vulnérabilité d’exécution de code à distance du spouleur d’impression de Windows PrintNightmare (CVE-2021-34527, CVE-2021-36947, CVE-2021-36936, CVE-2021-34483, CVE-2021-34481, CVE-2021-36958)

Mise à jour le 14 septembre 2021

CONTEXTE

Le 6 juin 2021, Microsoft a publié un correctif pour une vulnérabilité critique d’exécution de code à distance pour corriger CVE-2021-34527. Le service Microsoft Windows Print Spooler ne parvient pas à restreindre l'accès à la fonctionnalité qui permet aux utilisateurs d'ajouter des imprimantes et les pilotes associés, ce qui peut permettre à un attaquant distant authentifié d'exécuter un code arbitraire avec les privilèges SYSTEM sur un système vulnérable. Depuis lors, plusieurs CVE ont été ajoutées dans le cadre de la vulnérabilité combinée « PrintNightmare », ainsi que des correctifs supplémentaires.

Cette vulnérabilité affecte tous les systèmes d’exploitation Windows.

RÉPONSE

Les équipes de recherche et développement de Cepheid analysent actuellement les correctifs de Microsoft pour CVE-2021-34527, CVE-2021-36947, CVE-2021-36936, CVE-2021-34483, CVE-2021-34481 afin de déterminer l’impact sur les produits touchés.

CryptoAPI

Mis à jour le 20 janvier 2020

CONTEXTE

Le 14 janvier 2020, Microsoft a publié des correctifs pour remédier aux 49 vulnérabilités dans le cadre de son annonce mensuelle Patch Tuesday. Parmi les correctifs disponibles figure la vulnérabilité (CVE-2020-0601) affectant la fonctionnalité cryptographique de Microsoft Windows connue sous le nom de Windows CryptoAPI. La vulnérabilité affecte les GeneXpert systèmes fonctionnant sous Windows 10 Professionnel.

RÉPONSE

Cepheid est au courant de cette vulnérabilité qui a été identifiée; Cepheid surveille actuellement les développements s'y afférents. Cepheid n’a reçu aucun rapport de ces vulnérabilités affectant l’utilisation clinique de nos produits et est en train d’évaluer l’impact potentiel de la vulnérabilité sur ses produits.

Cepheid n’a pas encore confirmé la compatibilité de ses GeneXpert systèmes avec des correctifs qui atténuent les dommages causés par la vulnérabilité CVE-2020-0601. Le processus d’essais de compatibilité est en cours et nous prévoyons terminer ce processus dans les prochaines semaines. 

Si vous souhaitez être informé de la fin des tests de compatibilité, veuillez contacter votre équipe locale de soutien technique Cepheid ou envoyer un courriel à productsecurity@cepheid.com.

DejaBlue

13 septembre, 2019

CONTEXTE

Le 13 août 2019, Microsoft a publié un ensemble de correctifs pour le protocole RDS (Remote Desktop Services) qui comprend deux vulnérabilités RCE (Remote Code Execution) critiques, soit CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 et CVE-2019-1226. Comme la vulnérabilité « BlueKeep   précédemment corrigée (CVE-2019-0708), ces deux vulnérabilités servent aussi à la création de vers, ce qui signifie que tout futur logiciel malveillant qui exploitera ces vulnérabilités pourrait se propager d’un ordinateur vulnérable à un autre sans aucune interaction de la part de l’utilisateur.

Les versions de Windows concernées sont Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8,1, Windows Server 2012 R2 et toutes les versions prises en charge de Windows 10, y compris les versions serveur.

Windows XP2003, Windows Server et Windows Server 2008 ne sont pas concernés pas plus que le protocole RDP (Remote Desktop Protocol) lui-même.

RÉPONSE

Cepheid a validé l’installation des correctifs Microsoft suivants pour ses GeneXpert systèmes et, le cas échéant, a élaboré des instructions spécifiques concernant ces systèmes à l’intention des clients. Pour obtenir des renseignements détaillés sur chaque produit de Cepheid, veuillez consulter la liste des produits ci-dessous.

Si vous avez des questions, veuillez communiquer avec l’équipe de soutien technique de Cepheid dans votre localité ou envoyer un courriel à productsecurity@cepheid.com.

Vulnérabilité du protocole RDP (Remote Desktop Protocol) CVE-2019-0708 (BlueKeep)

Mise à jour le 25 juillet 2019

CONTEXTE

Le 15 mai 2019, Microsoft a publié un correctif visant une vulnérabilité critique, soit RCE (Remote Code Execution, CVE-2019-0708), dans le protocole RDS (Remote Desktop Services). CVE-2019-0708 est une vulnérabilité et non un virus. Cette vulnérabilité peut être exploitée à distance sans authentification sur les systèmes qui font appel au protocole RDS dans le cadre des systèmes d’exploitation Windows XP et Windows 7.

RÉPONSE

Cepheid a validé l’installation du correctif Microsoft visant la vulnérabilité CVE-2019-0708 et, le cas échéant, a élaboré des instructions spécifiques concernant ces systèmes à l’intention des clients. Pour obtenir des renseignements détaillés sur chaque produit de Cepheid, veuillez consulter la liste des produits ci-dessous.

Si vous avez des questions, veuillez communiquer avec l’équipe de soutien technique de Cepheid dans votre localité ou envoyer un courriel à productsecurity@cepheid.com.