L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.
Historique des vulnérabilités traitées par Vigil@nce :

bulletin de vulnérabilité informatique CVE-2013-5494

Cisco Unified MeetingPlace : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de Cisco Unified MeetingPlace, afin de forcer la victime à effectuer des opérations.
Produits concernés : Cisco MeetingPlace.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/09/2013.
Références : BID-62390, CSCui44674, CSCui45209, CVE-2013-5494, VIGILANCE-VUL-13428.

Description de la vulnérabilité

Le produit Cisco Unified MeetingPlace propose un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de Cisco Unified MeetingPlace, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-4705

Opera : Cross Site Scripting de UTF-8

Synthèse de la vulnérabilité

Produits concernés : Opera.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/09/2013.
Références : BID-62425, CVE-2013-4705, JVN#01094166, VIGILANCE-VUL-13427.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting lorsque l'encodage est configuré en UTF-8 dans Opera, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2013-4343

Noyau Linux : élévation de privilèges via TUNSETIFF

Synthèse de la vulnérabilité

Un attaquant, possédant la capacité CAP_NET_ADMIN, peut employer l'ioctl TUNSETIFF du noyau Linux, afin d'obtenir les privilèges root.
Produits concernés : Fedora, Linux, RHEL.
Gravité : 1/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/09/2013.
Références : BID-62360, CVE-2013-4343, FEDORA-2013-17010, FEDORA-2013-17012, RHSA-2013:1490-01, VIGILANCE-VUL-13426.

Description de la vulnérabilité

L'ioctl TUNSETIFF permet de configurer une interface TUN. Le privilège CAP_NET_ADMIN est nécessaire pour effectuer cette opération.

La fonction tun_set_iff() du fichier drivers/net/tun.c gère l'ajout de l'interface TUN. Cependant, si le nom de l'interface est malformé, une zone mémoire est libérée deux fois.

Un attaquant, possédant la capacité CAP_NET_ADMIN, peut donc employer l'ioctl TUNSETIFF du noyau Linux, afin d'obtenir les privilèges root.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2013-2888 CVE-2013-2889 CVE-2013-2890

Noyau Linux : multiples vulnérabilités de HID

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de HID du noyau Linux.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, Linux, MBS, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : accès/droits administrateur, déni de service du serveur.
Provenance : console utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/09/2013.
Références : 1000137, 1000360, 1000373, 1000414, 1000429, 1000451, 1000494, 1000536, 999890, 999960, CERTA-2013-AVI-545, CVE-2013-2888, CVE-2013-2889, CVE-2013-2890, CVE-2013-2891, CVE-2013-2892, CVE-2013-2893, CVE-2013-2894, CVE-2013-2895, CVE-2013-2896, CVE-2013-2897, CVE-2013-2898, CVE-2013-2899, DSA-2766-1, DSA-2906-1, FEDORA-2013-16336, FEDORA-2013-16379, MDVSA-2013:242, MDVSA-2014:124, openSUSE-SU-2014:1669-1, openSUSE-SU-2014:1677-1, openSUSE-SU-2015:0566-1, RHSA-2013:1490-01, RHSA-2013:1527-01, RHSA-2013:1645-02, RHSA-2014:0433-01, SOL15299, SUSE-SU-2014:0536-1, SUSE-SU-2014:1693-1, SUSE-SU-2014:1693-2, SUSE-SU-2014:1695-1, SUSE-SU-2014:1695-2, SUSE-SU-2014:1698-1, SUSE-SU-2015:0481-1, VIGILANCE-VUL-13425.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans la fonctionnalité HID (Human Interface Device) du noyau Linux.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 1000451, CVE-2013-2888]

Un attaquant peut provoquer un buffer overflow dans zeroplus, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 999890, CVE-2013-2889]

Un attaquant peut employer CONFIG_HID_SONY, afin de mener un déni de service. [grav:1/4; CVE-2013-2890]

Un attaquant peut provoquer un buffer overflow dans steelseries, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 999960, CVE-2013-2891]

Un attaquant peut provoquer un buffer overflow dans pantherlord, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 1000429, CVE-2013-2892]

Un attaquant peut provoquer un buffer overflow dans LG, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 1000414, CVE-2013-2893]

Un attaquant peut provoquer un buffer overflow dans lenovo-tpkbd, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 1000137, CVE-2013-2894]

Un attaquant peut provoquer un buffer overflow dans logitech-dj, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 1000360, CVE-2013-2895]

Un attaquant peut déréférencer un pointeur NULL dans ntrig, afin de mener un déni de service. [grav:1/4; 1000494, CVE-2013-2896]

Un attaquant peut provoquer un buffer overflow dans multitouch, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 1000536, CVE-2013-2897]

Un attaquant peut utilise CONFIG_HID_SENSOR_HUB, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2013-2898]

Un attaquant peut déréférencer un pointeur NULL dans picolcd_core, afin de mener un déni de service. [grav:1/4; 1000373, CVE-2013-2899]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2013-5482

Cisco Prime LAN Management Solution : Cross Frame Scripting

Synthèse de la vulnérabilité

Produits concernés : Cisco Prime LMS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/09/2013.
Références : BID-62366, CSCug77823, CVE-2013-5482, VIGILANCE-VUL-13424.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Frame Scripting de Cisco Prime LAN Management Solution, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2013-3657 CVE-2013-3658

VMware ESX, ESXi : deux vulnérabilités de CIM

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de la fonctionnalité CIM de VMware ESX/ESXi.
Produits concernés : ESX, ESXi, VMware vSphere, VMware vSphere Hypervisor.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, effacement de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/09/2013.
Références : BID-62316, BID-62323, CVE-2013-3657, CVE-2013-3658, JVNDB-2013-000084, JVNDB-2013-000085, VIGILANCE-VUL-13422.

Description de la vulnérabilité

Le standard CIM (Common Information Model) permet de surveiller l'état du système. Son implémentation dans VMware ESX/ESXi est impactée par deux vulnérabilités.

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-62316, CVE-2013-3657, JVNDB-2013-000085]

Un attaquant peut traverser les répertoires pour effacer un fichier, afin de mener un déni de service. [grav:2/4; BID-62323, CVE-2013-3658, JVNDB-2013-000084]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2013-4383

Drupal jQuery Countdown : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Drupal jQuery Countdown, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/09/2013.
Références : BID-62340, CVE-2013-4383, DRUPAL-SA-CONTRIB-2013-076, VIGILANCE-VUL-13421.

Description de la vulnérabilité

Le module jQuery Countdown affiche un compte à rebours.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Drupal jQuery Countdown, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2013-5937 CVE-2013-5938

Drupal Click2Sell : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Drupal Click2Sell.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/09/2013.
Références : BID-62343, CVE-2013-4381-REJECT, CVE-2013-4382-REJECT, CVE-2013-5937, CVE-2013-5938, DRUPAL-SA-CONTRIB-2013-075, VIGILANCE-VUL-13420.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Drupal Click2Sell.

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2013-4381-REJECT, CVE-2013-5938]

Un attaquant peut provoquer un Cross Site Request Forgery, afin de forcer la victime à effectuer des opérations. [grav:2/4; CVE-2013-4382-REJECT, CVE-2013-5937]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-4380

Drupal MediaFront : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Drupal MediaFront, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Drupal Modules ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/09/2013.
Références : BID-62342, CVE-2013-4380, DRUPAL-SA-CONTRIB-2013-074, VIGILANCE-VUL-13419.

Description de la vulnérabilité

Le module MediaFront permet de présenter des documents multimédia.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Drupal MediaFront, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2013-4338 CVE-2013-4339 CVE-2013-4340

WordPress : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de WordPress.
Produits concernés : Debian, Fedora, MBS, WordPress Core.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, camouflage.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/09/2013.
Date révision : 16/09/2013.
Références : 13418, BID-62344, BID-62345, BID-62346, BID-62421, BID-62424, CERTA-2013-AVI-526, CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739, DSA-2757-1, FEDORA-2013-16895, FEDORA-2013-16925, MDVSA-2013:239, VIGILANCE-VUL-13418.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans WordPress.

Un attaquant peut désérialiser des données, afin d'exécuter du code. [grav:3/4; BID-62345, CVE-2013-4338]

Un attaquant peut rediriger la victime vers un autre site. [grav:2/4; BID-62344, CVE-2013-4339]

Un attaquant, avec un privilège d'auteur, peut écrire un article avec l'identité d'un autre utilisateur. [grav:2/4; BID-62346, CVE-2013-4340]

Un attaquant peut provoquer un Cross Site Scripting dans get_allowed_mime_types, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; BID-62424, CVE-2013-5738]

Un attaquant peut provoquer un Cross Site Scripting dans get_allowed_mime_types, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; BID-62421, CVE-2013-5739]
Bulletin Vigil@nce complet.... (Essai gratuit)

Page précédente   Page suivante

Accès à la page 1 21 41 61 81 101 121 141 161 181 201 221 241 261 281 301 321 341 361 381 401 421 441 461 481 501 521 541 561 581 601 621 641 661 681 701 721 741 761 781 801 821 841 861 881 901 921 941 961 981 1001 1021 1041 1061 1081 1101 1121 1141 1161 1181 1201 1221 1241 1261 1271 1272 1273 1274 1275 1276 1277 1278 1279 1280 1281 1282 1283 1284 1285 1286 1287 1288 1289 1290 1291 1301 1321 1341 1361 1381 1401 1421 1441 1461 1481 1501 1521 1541 1561 1581 1601 1621 1641 1661 1681 1701 1721 1741 1761 1781 1801 1821 1841 1861 1881 1901 1921 1941 1961 1981 2001 2021 2041 2050