Microsoft corrige une série de vulnérabilités dans des composants pour Azure Linux

Une vague de correctifs pour l'écosystème Microsoft

Le 27 mai 2026, Microsoft a diffusé neuf bulletins de sécurité visant à résoudre autant de vulnérabilités identifiées dans divers composants de son offre. L'avis publié le 1er juin par le CERT-FR (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) a porté ces correctifs à la connaissance des administrateurs systèmes et du grand public.

Les failles corrigées concernent exclusivement des logiciels destinés à fonctionner sur Azure Linux (azl3), la distribution maison de Microsoft pour ses environnements cloud. Les produits affectés sont des éléments d'infrastructure essentiels : gestion des certificats, orchestrateur de conteneurs, outillage de virtualisation, bases de données ou encore composants réseau.

Une douzaine de paquets concernés

Les versions antérieures à des correctifs précis sont déclarées vulnérables. Parmi les briques touchées figurent notamment le pilote d'ingress pour Kubernetes (application-gateway-kubernetes-ingress, version 1.7.7-3), l'outil de gestion de certificats (cert-manager, jusqu'à 1.12.15-6) ou encore l'importateur de données conteneurisées (containerized-data-importer, version 1.62.0-3).

Le gestionnaire de machines virtuelles KubeVirt (1.7.1-2), le serveur de messagerie RabbitMQ (3.13.7-3) et la base de données temporelle InfluxDB (2.7.5-15) figurent aussi dans la liste. S'y ajoutent les outils cri-tools, kube-vip-cloud-provider, libyang, packer, prometheus-adapter et sriov-network-device-plugin. Pour chaque paquet, les versions de correctif (update) sont fournies par l'éditeur.

Implications et risque

Le risque associé à ces vulnérabilités n'est pas précisément détaillé par Microsoft dans les avis consultés par le CERT-FR. L'autorité française note que ces failles pourraient permettre à un attaquant de provoquer « un problème de sécurité non spécifié par l'éditeur ». Cette formulation couvre un large éventail de conséquences potentielles, allant du déni de service à l'exécution de code arbitraire, en passant par l'élévation de privilèges.

Recommandations

Le CERT-FR invite les responsables informatiques à se reporter aux bulletins de sécurité de Microsoft et à appliquer sans délai les correctifs disponibles. Les liens vers chaque bulletin (identifiés par les références CVE-2026-25680, CVE-2026-25681, CVE-2026-39827, CVE-2026-39828, CVE-2026-39835, CVE-2026-41401, CVE-2026-42502, CVE-2026-46598 et CVE-2026-8466) sont accessibles depuis l'avis officiel.

Alors que les environnements Azure Linux sont de plus en plus déployés pour des charges de travail critiques, la multiplication de ces correctifs en une seule vague souligne l'importance d'une veille de sécurité rigoureuse sur l'ensemble de la chaîne logicielle.