L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.
Historique des vulnérabilités traitées par Vigil@nce :

bulletin de vulnérabilité 19913

Node.js cli : corruption de fichiers via des fichiers temporaires prédictibles

Synthèse de la vulnérabilité

Un attaquant peut créer des via liens à la place des fichiers temporaires de Node.js cli, afin de corrompre des fichiers modifiables par Node.js.
Produits concernés : Nodejs Modules ~ non exhaustif.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 16/06/2016.
Références : VIGILANCE-VUL-19913.

Description de la vulnérabilité

Le module cli peut être installé sur Node.js.

Il utilise des fichiers temporaires au nom prédictible dans un emplacement accessible en écriture à tout le monde ("/tmp"). Un attaquant peut donc créer des liens symboliques ayant les noms prédits afin de corrompre les fichiers pointés avec les privilèges du processus Node.js.

Un attaquant peut donc créer des via liens à la place des fichiers temporaires de Node.js cli, afin de corrompre des fichiers modifiables par Node.js.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2016-4470

Noyau Linux : utilisation de mémoire libérée via key_reject_and_link

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via key_reject_and_link du noyau Linux, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, Android OS, NSM Central Manager, NSMXpress, Linux, openSUSE, openSUSE Leap, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du serveur, déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/06/2016.
Références : CERTFR-2016-AVI-267, CERTFR-2016-AVI-278, CERTFR-2016-AVI-329, CERTFR-2017-AVI-034, CERTFR-2017-AVI-053, CVE-2016-4470, DLA-609-1, DSA-3607-1, FEDORA-2016-1c409313f4, FEDORA-2016-63ee0999e4, FEDORA-2016-73a733f4d9, JSA10853, openSUSE-SU-2016:1798-1, openSUSE-SU-2016:2144-1, openSUSE-SU-2016:2184-1, RHSA-2016:1532-02, RHSA-2016:1539-01, RHSA-2016:1541-03, RHSA-2016:1657-01, RHSA-2016:2006-01, RHSA-2016:2074-01, RHSA-2016:2076-01, RHSA-2016:2128-01, RHSA-2016:2133-01, SOL55672042, SUSE-SU-2016:1937-1, SUSE-SU-2016:1985-1, SUSE-SU-2016:2018-1, SUSE-SU-2016:2105-1, SUSE-SU-2016:2245-1, SUSE-SU-2017:0333-1, SUSE-SU-2017:0471-1, USN-3049-1, USN-3050-1, USN-3051-1, USN-3052-1, USN-3053-1, USN-3054-1, USN-3055-1, USN-3056-1, USN-3057-1, VIGILANCE-VUL-19912.

Description de la vulnérabilité

Le noyau Linux peut gérer des clés cryptographiques.

Cependant, lors de l'échec d'un enregistrement de clé, l'utilisation d'une variable non initialisée entraine la libération prématurée d'une zone mémoire qui sera réutilisée.

Un attaquant peut donc provoquer l'utilisation d'une zone mémoire libérée via key_reject_and_link du noyau Linux, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 19911

TYPO3 Bootstrap Package : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de TYPO3 Bootstrap Package, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : TYPO3 Extensions ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/06/2016.
Références : TYPO3-EXT-SA-2016-018, VIGILANCE-VUL-19911.

Description de la vulnérabilité

L'extension Bootstrap Package peut être installée sur TYPO3.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de TYPO3 Bootstrap Package, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 19910

Joomla com_enmasse : injection SQL via component

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL via le modèle component de Joomla com_enmasse, afin de lire ou modifier des données.
Produits concernés : Joomla Extensions ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Confiance : source unique (2/5).
Date création : 16/06/2016.
Références : VIGILANCE-VUL-19910.

Description de la vulnérabilité

Le produit Joomla com_enmasse utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL via le modèle component de Joomla com_enmasse, afin de lire ou modifier des données.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2016-5020

F5 BIG-IP : élévation de privilèges via EAV

Synthèse de la vulnérabilité

Produits concernés : BIG-IP Hardware, TMOS.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte privilégié.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/06/2016.
Références : CVE-2016-5020, K00265182, SOL00265182, VIGILANCE-VUL-19909.

Description de la vulnérabilité

Un attaquant pouvant utiliser un script de surveillance des fonctions de vérifications (EAV) peut modifier des comptes d'utilisateur.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 19908

Drupal Views : lecture non autorisée des statistiques

Synthèse de la vulnérabilité

Un attaquant peut consulter les statistiques d'accès sans avoir la permission correspondante.
Produits concernés : Drupal Modules ~ non exhaustif, Fedora.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/06/2016.
Références : DRUPAL-SA-CONTRIB-2016-036, FEDORA-2016-ed5f606dde, FEDORA-2016-fff25f75b4, VIGILANCE-VUL-19908.

Description de la vulnérabilité

Le module Views peut être installé sur Drupal.

Un attaquant peut consulter les statistiques d'accès sans avoir la permission correspondante.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-6211 CVE-2016-6212

Drupal Core : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Drupal Core.
Produits concernés : Debian, Drupal Core, Fedora.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/06/2016.
Références : CERTFR-2016-AVI-210, CVE-2016-6211, CVE-2016-6212, DLA-550-1, DRUPAL-SA-CORE-2016-002, DSA-3604-1, FEDORA-2016-3a05803486, FEDORA-2016-95f1569a73, FEDORA-2016-a84b3d73bc, VIGILANCE-VUL-19907.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Drupal Core.

Un attaquant pouvant déclencher une reconstruction des comptes d'utilisateur peut obtenir de nouveaux rôles et les privilèges associés. [grav:2/4; CVE-2016-6211]

Un attaquant peut consulter les statistiques d'accès sans avoir la permission correspondante. Il s'agit de la même vulnérabilité que celle décrite dans VIGILANCE-VUL-19908 pour un module. [grav:1/4; CVE-2016-6212]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2016-5314 CVE-2016-5315 CVE-2016-5316

LibTIFF : huit vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de libtiff.
Produits concernés : Debian, BIG-IP Hardware, TMOS, LibTIFF, openSUSE, openSUSE Leap, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/06/2016.
Références : CVE-2016-5314, CVE-2016-5315, CVE-2016-5316, CVE-2016-5317, CVE-2016-5320-REJECT, CVE-2016-5321, CVE-2016-5322, CVE-2016-5323, DLA-606-1, DLA-610-1, DLA-610-2, DSA-3762-1, openSUSE-SU-2016:1889-1, openSUSE-SU-2016:2321-1, openSUSE-SU-2016:2375-1, openSUSE-SU-2016:3035-1, openSUSE-SU-2017:0074-1, RHSA-2016:1546-01, RHSA-2016:1547-01, SOL89096577, SSA:2017-098-01, SUSE-SU-2018:1472-1, USN-3212-1, USN-3212-2, USN-3212-3, USN-3212-4, VIGILANCE-VUL-19905.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans libtiff.

Un attaquant peut provoquer un buffer overflow via PixarLogDecode, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-5314]

Un attaquant peut forcer la lecture à une adresse invalide dans setByteArray, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:1/4; CVE-2016-5315]

Un attaquant peut forcer la lecture à une adresse invalide via PixarLogCleanup, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2016-5316]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-5317]

Un attaquant peut provoquer une division par 0, afin de mener un déni de service. [grav:1/4; CVE-2016-5323]

Un attaquant peut forcer le déréférencement d'un pointeur NULL, afin de mener un déni de service. [grav:1/4; CVE-2016-5321]

Un attaquant peut forcer la lecture à une adresse invalide, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:1/4; CVE-2016-5322]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-5314, CVE-2016-5320-REJECT]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2015-6931

VMware vCenter Server : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de VMware vCenter Server, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : vCenter Server, VMware vSphere.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/06/2016.
Références : CERTFR-2016-AVI-202, CVE-2015-6931, VIGILANCE-VUL-19904, VMSA-2016-0009.

Description de la vulnérabilité

Le produit VMware vCenter Server dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de VMware vCenter Server, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-4122 CVE-2016-4123 CVE-2016-4124

Adobe Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Adobe Flash Player.
Produits concernés : Flash Player, Edge, IE, Windows 10, Windows 8, Windows RT, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 4/4.
Conséquences : accès/droits client, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/06/2016.
Dates révisions : 17/06/2016, 08/07/2016.
Références : 3167685, 786, 788, 790, 793, APSA16-03, APSB16-18, CERTFR-2016-ALE-004, CERTFR-2016-AVI-213, CVE-2016-4122, CVE-2016-4123, CVE-2016-4124, CVE-2016-4125, CVE-2016-4127, CVE-2016-4128, CVE-2016-4129, CVE-2016-4130, CVE-2016-4131, CVE-2016-4132, CVE-2016-4133, CVE-2016-4134, CVE-2016-4135, CVE-2016-4136, CVE-2016-4137, CVE-2016-4138, CVE-2016-4139, CVE-2016-4140, CVE-2016-4141, CVE-2016-4142, CVE-2016-4143, CVE-2016-4144, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148, CVE-2016-4149, CVE-2016-4150, CVE-2016-4151, CVE-2016-4152, CVE-2016-4153, CVE-2016-4154, CVE-2016-4155, CVE-2016-4156, CVE-2016-4166, CVE-2016-4171, MS16-083, openSUSE-SU-2016:1621-1, openSUSE-SU-2016:1625-1, RHSA-2016:1238-01, SUSE-SU-2016:1613-1, TALOS-2016-0165, VIGILANCE-VUL-19903, VU#748992.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Adobe Flash Player.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4144]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4149]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4142]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4143]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4145]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4146]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4147]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4148]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; 786, CVE-2016-4135]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; 788, CVE-2016-4136]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; 793, CVE-2016-4138]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4122]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4123]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4124]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4125]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4127]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4128]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4129]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4130]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4131]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4132, TALOS-2016-0165]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4133]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4134]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; 790, CVE-2016-4137]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4141]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4150]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4151]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4152]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4153]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4154]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4155]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4156]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4166]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-4171]

Un attaquant peut manipuler les chemins de recherche, afin de faire exécuter du code. [grav:4/4; CVE-2016-4140]

Un attaquant peut contourner les règles de filtrage des scripts, afin par exemple d'obtenir des données sensibles. [grav:4/4; CVE-2016-4139]
Bulletin Vigil@nce complet.... (Essai gratuit)

Page précédente   Page suivante

Accès à la page 1 21 41 61 81 101 121 141 161 181 201 221 241 261 281 301 321 341 361 381 401 421 441 461 481 501 521 541 561 581 601 621 641 661 681 701 721 741 761 781 801 821 841 861 881 901 921 941 961 981 1001 1021 1041 1061 1081 1101 1121 1141 1161 1181 1201 1221 1241 1261 1281 1301 1321 1341 1361 1381 1401 1421 1441 1461 1481 1501 1521 1541 1561 1581 1601 1621 1641 1661 1681 1701 1721 1741 1761 1781 1801 1811 1812 1813 1814 1815 1816 1817 1818 1819 1820 1821 1822 1823 1824 1825 1826 1827 1828 1829 1830 1831 1841 1861 1881 1901 1921 1941 1961 1981 2001 2021 2041 2050