L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de jQuery Core : Cross Site Scripting via HtmlPrefilter Regex

Synthèse de la vulnérabilité 

Un attaquant peut provoquer un Cross Site Scripting via HtmlPrefilter Regex de jQuery Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits impactés : Business Objects, Cacti, Debian, Drupal Core, NetWorker, PowerPath, BIG-IP Hardware, TMOS, Fedora, FreeIPA, LoadRunner, IBM API Connect, QRadar SIEM, Tivoli Storage Manager, Joomla! Core, jQuery Core, Nodejs Modules ~ non exhaustif, openSUSE Leap, Oracle Communications, Oracle DB, Oracle Fusion Middleware, Oracle Identity Management, Oracle OIT, Solaris, WebLogic, OTRS Help Desk, RHEL, SAP CRM, SAP ERP, NetWeaver, SUSE Linux Enterprise Desktop, SLES, ASE, Telerik.Web.UI, Nessus.
Gravité de ce bulletin : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date de création : 14/04/2020.
Références de cette menace : 20200601, 20200602, 20200603, 20200604, 20200605, 6217392, 6253319, 6344075, 6367943, CERTFR-2020-AVI-310, CERTFR-2020-AVI-335, CERTFR-2020-AVI-797, cpujan2021, cpujul2020, cpuoct2020, CVE-2020-11022, CVE-2020-11023, DRUPAL-SA-CORE-2020-002, DRUPAL-SA-CORE-2020-003, DSA-2020-262, DSA-2020-270, DSA-4693-1, FEDORA-2020-0b32a59b54, FEDORA-2020-11be4b36d4, FEDORA-2020-7dddce530c, FEDORA-2020-8a15713da2, FEDORA-2020-fbb94073a1, K02453220, K66544153, KM03758436, NPM-1518, openSUSE-SU-2020:1060-1, openSUSE-SU-2020:1106-1, openSUSE-SU-2020:1888-1, OSA-2020-14, RHSA-2020:3936-01, RHSA-2020:4670-01, RHSA-2020:4847-01, TNS-2020-10, VIGILANCE-VUL-32007.

Description de la vulnérabilité 

Un attaquant peut provoquer un Cross Site Scripting via HtmlPrefilter Regex de jQuery Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité cybersécurité concerne les logiciels ou systèmes comme Business Objects, Cacti, Debian, Drupal Core, NetWorker, PowerPath, BIG-IP Hardware, TMOS, Fedora, FreeIPA, LoadRunner, IBM API Connect, QRadar SIEM, Tivoli Storage Manager, Joomla! Core, jQuery Core, Nodejs Modules ~ non exhaustif, openSUSE Leap, Oracle Communications, Oracle DB, Oracle Fusion Middleware, Oracle Identity Management, Oracle OIT, Solaris, WebLogic, OTRS Help Desk, RHEL, SAP CRM, SAP ERP, NetWeaver, SUSE Linux Enterprise Desktop, SLES, ASE, Telerik.Web.UI, Nessus.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 2 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence spécialiste peut exploiter cette annonce sécurité.

Solutions pour cette menace 

jQuery Core : version 3.5.0.
La version 3.5.0 est corrigée :
  http://jquery.com/download/

Cacti : version 1.2.13.
La version 1.2.13 est corrigée :
  https://github.com/cacti/

Debian 9 : nouveaux paquetages drupal7.
De nouveaux paquetages sont disponibles :
  Debian 9 : drupal7 7.52-2+deb9u10

Dell EMC NetWorker : versions corrigées pour PostgreSQL/jQuery.
Les versions corrigées sont indiquées dans les sources d'information.

Dell EMC PowerPath Management Appliance : versions corrigées pour jQuery.
Les versions corrigées sont indiquées dans les sources d'information.

Drupal Core : version 7.70.
La version 7.70 est corrigée :
  https://www.drupal.org/project/drupal

Drupal Core : version 8.7.14.
La version 8.7.14 est corrigée :
  https://www.drupal.org/project/drupal

Drupal Core : version 8.8.6.
La version 8.8.6 est corrigée :
  https://www.drupal.org/project/drupal

F5 BIG-IP : solution pour jQuery CVE-2020-11022.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : solution pour jQuery CVE-2020-11023.
La solution est indiquée dans les sources d'information.

Fedora 31-32 : nouveaux paquetages cacti.
De nouveaux paquetages sont disponibles :
  Fedora 31 : cacti 1.2.13-1.fc31
  Fedora 32 : cacti 1.2.13-1.fc32

Fedora 31-32 : nouveaux paquetages drupal7.
De nouveaux paquetages sont disponibles :
  Fedora 31 : drupal7 7.72-1.fc31
  Fedora 32 : drupal7 7.72-1.fc32

Fedora 32 : nouveaux paquetages drupal7.
De nouveaux paquetages sont disponibles :
  Fedora 32 : drupal7 7.70-1.fc32

FreeIPA : version 4.8.7.
La version 4.8.7 est corrigée :
  https://www.freeipa.org/page/Releases/4.8.7
  https://www.freeipa.org/page/Downloads

IBM API Connect : patch pour Drupal.
Un patch est indiqué dans les sources d'information.

IBM API Connect : versions corrigées pour jQuery.
Les versions corrigées sont indiquées dans les sources d'information.

IBM QRadar SIEM : patch pour Components.
Un patch est indiqué dans les sources d'information.

IBM Spectrum Protect Plus Linux : versions corrigées pour Dependencies.
Les versions corrigées sont indiquées dans les sources d'information.

Joomla Core : version 3.9.19.
La version 3.9.19 est corrigée :
  https://downloads.joomla.org/

Micro Focus LoadRunner : version 2020 SP3.
La version 2020 SP3 est corrigée :
  https://entitlement.microfocus.com/

Nessus : version 8.11.1.
La version 8.11.1 est corrigée :
  https://www.tenable.com/

Nessus : version 8.13.0.
La version 8.13.0 est corrigée :
  https://www.tenable.com/

openSUSE Leap, SUSE LE : nouveaux paquetages otrs.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.1 : otrs 6.0.30-lp151.2.9.1
  openSUSE Leap 15.2 : otrs 6.0.30-lp152.2.6.1
  SUSE LE 15 SP1 : otrs 6.0.30-bp151.3.9.1
  SUSE LE 15 SP2 : otrs 6.0.30-bp152.2.11.1

openSUSE, SUSE LE : nouveaux paquetages cacti.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.1 : cacti 1.2.13-lp151.3.12.1
  openSUSE Leap 15.2 : cacti 1.2.13-lp152.2.3.1
  SUSE LE 12 RTM-SP5 : cacti 1.2.13-11.1

Oracle Communications : CPU de juillet 2020.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2681987.1
  https://support.oracle.com/rs?type=doc&id=2682459.1
  https://support.oracle.com/rs?type=doc&id=2682014.1
  https://support.oracle.com/rs?type=doc&id=2683787.1
  https://support.oracle.com/rs?type=doc&id=2683788.1
  https://support.oracle.com/rs?type=doc&id=2683789.1
  https://support.oracle.com/rs?type=doc&id=2682045.1
  https://support.oracle.com/rs?type=doc&id=2683831.1
  https://support.oracle.com/rs?type=doc&id=2682010.1
  https://support.oracle.com/rs?type=doc&id=2683832.1
  https://support.oracle.com/rs?type=doc&id=2682500.1
  https://support.oracle.com/rs?type=doc&id=2683241.1
  https://support.oracle.com/rs?type=doc&id=2682011.1
  https://support.oracle.com/rs?type=doc&id=2683840.1
  https://support.oracle.com/rs?type=doc&id=2682018.1
  https://support.oracle.com/rs?type=doc&id=2683841.1
  https://support.oracle.com/rs?type=doc&id=2683842.1
  https://support.oracle.com/rs?type=doc&id=2683843.1
  https://support.oracle.com/rs?type=doc&id=2683845.1

Oracle Communications : CPU de octobre 2020.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2714788.1
  https://support.oracle.com/rs?type=doc&id=2713777.1
  https://support.oracle.com/rs?type=doc&id=2714789.1
  https://support.oracle.com/rs?type=doc&id=2714787.1
  https://support.oracle.com/rs?type=doc&id=2714763.1
  https://support.oracle.com/rs?type=doc&id=2714792.1
  https://support.oracle.com/rs?type=doc&id=2713779.1
  https://support.oracle.com/rs?type=doc&id=2713303.1
  https://support.oracle.com/rs?type=doc&id=2714790.1
  https://support.oracle.com/rs?type=doc&id=2712893.1
  https://support.oracle.com/rs?type=doc&id=2714764.1
  https://support.oracle.com/rs?type=doc&id=2714796.1
  https://support.oracle.com/rs?type=doc&id=2714988.1
  https://support.oracle.com/rs?type=doc&id=2714791.1

Oracle Database : CPU de octobre 2020.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2694898.1

Oracle Fusion Middleware : CPU de janvier 2021.
Un Critical Patch Update est disponible :
  https://www.oracle.com/security-alerts/cpujan2021.html

Oracle Fusion Middleware : CPU de octobre 2020.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2694898.1

Oracle Solaris : patch pour logiciels tiers de juillet 2020 v2.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

OTRS : version 6.0.30.
La version 6.0.30 est corrigée :
  https://otrs.com/

OTRS : version 7.0.22.
La version 7.0.22 est corrigée :
  https://otrs.com/

OTRS : version 8.0.7.
La version 8.0.7 est corrigée :
  https://otrs.com/

RHEL 7.8 : nouveaux paquetages ipa.
De nouveaux paquetages sont disponibles :
  RHEL 7.0-7.8 : ipa 4.6.8-5.el7

RHEL 8 : nouveau module idm-DL1.
Le module suivant est mis à jour :
  RHEL 8 Module : idm:DL1

RHEL 8 : nouveau module pki-core-10.6.
Le module suivant est mis à jour :
  RHEL 8 Module : pki-core:10.6

SAP : solution de août 2020.
La solution est disponible sur le site SAP :
  https://support.sap.com/kb-incidents/notifications/security-notes.html

SAP : solution de septembre 2020.
La solution est disponible sur le site SAP :
  https://support.sap.com/kb-incidents/notifications/security-notes.html

SUSE LE 15 SP1 : nouveaux paquetages cacti.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 SP1 : cacti 1.2.13-bp151.4.12.1

Telerik UI for ASP.NET AJAX : version 2020.2.512.
La version 2020.2.512 est corrigée :
  https://www.telerik.com/support/whats-new/release-history
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilité informatique. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.