L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.
Historique des vulnérabilités traitées par Vigil@nce :

alerte de vulnérabilité informatique CVE-2014-1763 CVE-2014-1765 CVE-2014-2783

Internet Explorer : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Internet Explorer.
Produits concernés : IE.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 25.
Date création : 08/07/2014.
Date révision : 30/07/2014.
Références : 2975687, CERTFR-2014-AVI-300, CVE-2014-1763, CVE-2014-1765, CVE-2014-2783, CVE-2014-2785, CVE-2014-2786, CVE-2014-2787, CVE-2014-2788, CVE-2014-2789, CVE-2014-2790, CVE-2014-2791, CVE-2014-2792, CVE-2014-2794, CVE-2014-2795, CVE-2014-2797, CVE-2014-2798, CVE-2014-2800, CVE-2014-2801, CVE-2014-2802, CVE-2014-2803, CVE-2014-2804, CVE-2014-2806, CVE-2014-2807, CVE-2014-2809, CVE-2014-2813, CVE-2014-4066, MS14-037, VIGILANCE-VUL-15006, ZDI-14-215, ZDI-14-216, ZDI-14-217, ZDI-14-219, ZDI-14-222, ZDI-14-223, ZDI-14-225, ZDI-14-261, ZDI-14-265, ZDI-14-266.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Internet Explorer.

Un attaquant peut utiliser un certificat wildcard, afin de contourner Extended Validation. [grav:2/4; CVE-2014-2783]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1763, ZDI-14-217]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1765, ZDI-14-219, ZDI-14-223, ZDI-14-261]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2785]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2786]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2787]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2788]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2789]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2790]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2791, ZDI-14-215]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2792, ZDI-14-216]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2794]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2795]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2797]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2798]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2800]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2801]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2802, ZDI-14-265]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2803, ZDI-14-266]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2804]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2806]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2807]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2809, ZDI-14-222]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-2813, ZDI-14-225]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4066]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2014-0537 CVE-2014-0539 CVE-2014-4671

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 08/07/2014.
Références : 2755801, CERTFR-2014-AVI-306, CVE-2014-0537, CVE-2014-0539, CVE-2014-4671, CVE-2014-5333, openSUSE-SU-2014:0903-1, openSUSE-SU-2014:0913-1, RHSA-2014:0860-01, SUSE-SU-2014:0897-1, VIGILANCE-VUL-15005.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut utiliser JSONP, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-4671, CVE-2014-5333]

Un attaquant peut contourner une mesure de sécurité, afin d'élever ses privilèges. [grav:2/4; CVE-2014-0537]

Un attaquant peut contourner une mesure de sécurité, afin d'élever ses privilèges. [grav:2/4; CVE-2014-0539]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 15001

SAP HANA : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de SAP HANA, afin de forcer la victime à effectuer des opérations.
Produits concernés : SAP ERP, NetWeaver.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 08/07/2014.
Références : 2011169, DOC-8218, ERPSCAN-14-010, VIGILANCE-VUL-15001.

Description de la vulnérabilité

Le produit SAP HANA dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de SAP HANA, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2014-4855

WordPress Polylang : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de WordPress Polylang, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 08/07/2014.
Références : CVE-2014-4855, VIGILANCE-VUL-14999.

Description de la vulnérabilité

Le plugin Polylang peut être installé sur WordPress.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de WordPress Polylang, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2014-3863

Joomla JChatSocial : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Joomla JChatSocial, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Joomla Extensions ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 08/07/2014.
Références : CVE-2014-3863, VIGILANCE-VUL-14997.

Description de la vulnérabilité

L'extension JChatSocial peut être installée sur Joomla.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Joomla JChatSocial, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 14996

python-lz4 : une corruption de mémoire

Synthèse de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire de python-lz4, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du serveur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 08/07/2014.
Références : LMS-2014-07-07-1, VIGILANCE-VUL-14996.

Description de la vulnérabilité

Le module python-lz4 utilise LZ4 Core, et est donc impacté par les vulnérabilités VIGILANCE-VUL-14947 et VIGILANCE-VUL-14982.

Un attaquant peut donc provoquer une corruption de mémoire de python-lz4, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2014-4945 CVE-2014-4946

Horde : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Horde.
Produits concernés : Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 08/07/2014.
Références : CVE-2014-4945, CVE-2014-4946, VIGILANCE-VUL-14995.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Horde.

Un attaquant peut provoquer un Cross Site Scripting dans IMP/Mail, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-4945, CVE-2014-4946]

Un attaquant peut utiliser le faible chiffrement des données de session, afin d'obtenir des informations sensibles. [grav:2/4]

Un attaquant peut provoquer une erreur dans l'authentification à la base, pour lire le message d'erreur, afin d'obtenir des informations sensibles. [grav:1/4]

Un attaquant peut utiliser un mot de passe vide, afin d'élever ses privilèges. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-4699

Noyau Linux : élévation de privilèges via ptrace SYSRET RIP

Synthèse de la vulnérabilité

Un attaquant local peut utiliser ptrace, SYSRET et RIP sur un noyau Linux installé sur x86_64, afin d'élever ses privilèges.
Produits concernés : Debian, Fedora, Linux, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 07/07/2014.
Date révision : 09/07/2014.
Références : CERTFR-2014-AVI-298, CERTFR-2014-AVI-388, CVE-2014-4699, DSA-2972-1, FEDORA-2014-8171, FEDORA-2014-8487, MDVSA-2014:155, openSUSE-SU-2014:0957-1, openSUSE-SU-2014:0985-1, openSUSE-SU-2014:1246-1, RHSA-2014:0913-01, RHSA-2014:0923-01, RHSA-2014:0924-01, RHSA-2014:0925-01, RHSA-2014:0949-01, SUSE-SU-2014:0908-1, SUSE-SU-2014:0909-1, SUSE-SU-2014:0910-1, SUSE-SU-2014:0911-1, SUSE-SU-2014:0912-1, SUSE-SU-2014:1105-1, SUSE-SU-2014:1138-1, USN-2266-1, USN-2267-1, USN-2268-1, USN-2269-1, USN-2270-1, USN-2271-1, USN-2272-1, USN-2274-1, VIGILANCE-VUL-14994.

Description de la vulnérabilité

La fonction ptrace() permet de suivre l'exécution d'un processus.

L'instruction assembleur SYSCALL/SYSRET est utilisée pour gérer l'entrée et la sortie d'un appel système.

Le registre RIP 64 bit indique le pointeur d'instruction (l'adresse qui contient le code à exécuter).

Cependant, un attaquant peut utiliser ptrace, avec SYSRET et RIP 64, afin de modifier l'état du processeur.

Un attaquant local peut donc utiliser ptrace, SYSRET et RIP sur un noyau Linux installé sur x86_64, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-9920

McAfee Application Control : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut créer un programme illicite, qui n'est pas détecté par McAfee Application Control.
Produits concernés : MAC.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 03/07/2014.
Références : CVE-2014-9920, SB10077, VIGILANCE-VUL-14993.

Description de la vulnérabilité

Le produit McAfee Application Control limite l'exécution de programmes Windows.

Cependant, un programme exécutable malformé est perçu par McAfee Application Control comme n'étant pas exécutable, et n'est alors pas bloqué.

Un attaquant peut donc créer un programme illicite, qui n'est pas détecté par McAfee Application Control.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2014-4522 CVE-2014-4524 CVE-2014-4526

WordPress Plugins : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans plusieurs plugins WordPress, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 55.
Date création : 03/07/2014.
Références : CVE-2014-4522, CVE-2014-4524, CVE-2014-4526, CVE-2014-4527, CVE-2014-4529, CVE-2014-4531, CVE-2014-4532, CVE-2014-4534, CVE-2014-4537, CVE-2014-4540, CVE-2014-4541, CVE-2014-4542, CVE-2014-4543, CVE-2014-4546, CVE-2014-4547, CVE-2014-4549, CVE-2014-4551, CVE-2014-4552, CVE-2014-4554, CVE-2014-4555, CVE-2014-4557, CVE-2014-4560, CVE-2014-4563, CVE-2014-4565, CVE-2014-4566, CVE-2014-4568, CVE-2014-4570, CVE-2014-4571, CVE-2014-4572, CVE-2014-4573, CVE-2014-4574, CVE-2014-4576, CVE-2014-4578, CVE-2014-4579, CVE-2014-4580, CVE-2014-4581, CVE-2014-4582, CVE-2014-4587, CVE-2014-4588, CVE-2014-4589, CVE-2014-4590, CVE-2014-4591, CVE-2014-4593, CVE-2014-4594, CVE-2014-4595, CVE-2014-4596, CVE-2014-4597, CVE-2014-4598, CVE-2014-4599, CVE-2014-4600, CVE-2014-4601, CVE-2014-4603, CVE-2014-4604, CVE-2014-4605, CVE-2014-4606, VIGILANCE-VUL-14992.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans plusieurs plugins WordPress, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

Page précédente   Page suivante

Accès à la page 1 21 41 61 81 101 121 141 161 181 201 221 241 261 281 301 321 341 361 381 401 421 441 461 481 501 521 541 561 581 601 621 641 661 681 701 721 741 761 781 801 821 841 861 881 901 921 941 961 981 1001 1021 1041 1061 1081 1101 1121 1141 1161 1181 1201 1221 1241 1261 1281 1301 1321 1341 1361 1381 1401 1403 1404 1405 1406 1407 1408 1409 1410 1411 1412 1413 1414 1415 1416 1417 1418 1419 1420 1421 1422 1423 1441 1461 1481 1501 1521 1541 1561 1581 1601 1621 1641 1661 1681 1701 1721 1741 1761 1781 1801 1821 1841 1861 1881 1901 1921 1941 1961 1981 2001 2021 2041 2061 2081 2101 2121 2141 2161 2181 2201 2221 2241 2261 2281 2301 2321 2341 2361 2381 2401 2421 2441 2461 2481 2501 2521 2541 2561 2581 2601 2621 2641 2661 2681 2701 2721 2741 2761 2781 2801 2821 2841 2861 2881 2898