L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données et des outils pour y remédier.

Vulnérabilité de XMLTooling-C : élévation de privilèges via DTD Processing

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via DTD Processing de XMLTooling-C, afin d'élever ses privilèges.
Gravité de cette alerte : 3/4.
Date création : 15/01/2018.
Références de cette alerte : CVE-2018-0486, DLA-1242-1, DSA-4085-1, openSUSE-SU-2018:0158-1, openSUSE-SU-2018:0738-1, SA43877, SUSE-SU-2018:0140-1, VIGILANCE-VUL-25037.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via DTD Processing de XMLTooling-C, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Demandez votre essai gratuit)

Ce bulletin de faille informatique concerne les logiciels ou systèmes comme Debian, openSUSE Leap, Pulse Connect Secure, Shibboleth SP, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette vulnérabilité cyber-sécurité.

Solutions pour cette menace

XMLTooling-C : version 1.6.3.
La version 1.6.3 est corrigée :
  http://shibboleth.net/downloads/c++-opensaml/2.6.1/

Shibboleth Service Provider Windows : version 2.6.1.3.
La version 2.6.1.3 est corrigée :
  https://shibboleth.net/

Debian 7/8 : nouveaux paquetages xmltooling.
De nouveaux paquetages sont disponibles :
  Debian 7 : xmltooling 1.4.2-5+deb7u2
  Debian 8 : xmltooling 1.5.3-2+deb8u2

openSUSE Leap 42.3 : nouveaux paquetages xmltooling.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : libxmltooling 1.5.6-9.1

openSUSE Leap : nouveaux paquetages xmltooling.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : libxmltooling6 1.5.6-6.1
  openSUSE Leap 42.2 : libxmltooling6 1.5.6-3.3.1

Pulse Connect Secure : version 9.0R1.
La version 9.0R1 est corrigée :
  https://www.pulsesecure.net/

SUSE LE 12 : nouveaux paquetages xmltooling.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP3 : libxmltooling6 1.5.6-3.3.2
  SUSE LE 12 SP2 : libxmltooling6 1.5.6-3.3.2
Bulletin Vigil@nce complet... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une alerte de vulnérabilité informatique. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.