L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Airbus Stormshield Network Security

bulletin de vulnérabilité informatique CVE-2019-1563

OpenSSL : obtention d'information via PKCS7/CMS Padding Oracle

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via PKCS7/CMS Padding Oracle de OpenSSL, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 11/09/2019.
Références : CERTFR-2019-AVI-444, cpuoct2019, CVE-2019-1563, DLA-1932-1, DSA-4539-1, DSA-4539-2, DSA-4539-3, DSA-4540-1, NTAP-20190919-0002, openSUSE-SU-2019:2158-1, openSUSE-SU-2019:2189-1, openSUSE-SU-2019:2268-1, openSUSE-SU-2019:2269-1, SSA:2019-254-03, STORM-2019-018, SUSE-SU-2019:14171-1, SUSE-SU-2019:14174-1, SUSE-SU-2019:2397-1, SUSE-SU-2019:2403-1, SUSE-SU-2019:2410-1, SUSE-SU-2019:2413-1, SUSE-SU-2019:2504-1, SUSE-SU-2019:2558-1, SUSE-SU-2019:2561-1, VIGILANCE-VUL-30293.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via PKCS7/CMS Padding Oracle de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 30263

Stormshield Network Security, Netasq : Cross Site Scripting via Certificate-based Authentication

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Certificate-based Authentication de Stormshield Network Security ou Netasq, afin d'exécuter du code JavaScript dans le contexte du site web.
Gravité : 2/4.
Date création : 06/09/2019.
Références : CERTFR-2019-AVI-426, STORM-2019-014, VIGILANCE-VUL-30263, VU#672565.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Certificate-based Authentication de Stormshield Network Security ou Netasq, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de faille 30262

Stormshield Network Security, Netasq : Cross Site Request Forgery via Webadmin

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery via Webadmin de Stormshield Network Security ou Netasq, afin de forcer la victime à effectuer des opérations.
Gravité : 2/4.
Date création : 06/09/2019.
Références : STORM-2019-012, VIGILANCE-VUL-30262.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery via Webadmin de Stormshield Network Security ou Netasq, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin cyber-sécurité 30261

Stormshield Network Security : Cross Site Scripting via Update Service

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Update Service de Stormshield Network Security, afin d'exécuter du code JavaScript dans le contexte du site web.
Gravité : 2/4.
Date création : 06/09/2019.
Références : STORM-2019-016, VIGILANCE-VUL-30261.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Update Service de Stormshield Network Security, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

menace CVE-2019-1125

Intel 64-bit CPU : obtention d'information via SWAPGS

Synthèse de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire via SWAPGS de Intel 64-bit CPU, afin d'obtenir des informations sensibles.
Gravité : 1/4.
Date création : 07/08/2019.
Références : 1103505, CERTFR-2019-AVI-375, CERTFR-2019-AVI-376, CERTFR-2019-AVI-381, CERTFR-2019-AVI-390, CERTFR-2019-AVI-391, CERTFR-2019-AVI-392, CERTFR-2019-AVI-417, CERTFR-2019-AVI-418, CERTFR-2019-AVI-428, CERTFR-2019-AVI-440, CERTFR-2019-AVI-458, CERTFR-2019-AVI-467, CERTFR-2019-AVI-486, CVE-2019-1125, DLA-1884-1, DLA-1885-1, DSA-4495-1, DSA-4497-1, FEDORA-2019-6bda4c81f4, FEDORA-2019-e37c348348, K31085564, openSUSE-SU-2019:1923-1, openSUSE-SU-2019:1924-1, RHSA-2019:2405-01, RHSA-2019:2411-01, RHSA-2019:2473-01, RHSA-2019:2476-01, RHSA-2019:2600-01, RHSA-2019:2609-01, RHSA-2019:2695-01, RHSA-2019:2696-01, RHSA-2019:2730-01, RHSA-2019:2899-01, RHSA-2019:2900-01, RHSA-2019:2975-01, RHSA-2019:3220-01, SB10297, SSA:2019-226-01, STORM-2019-007, SUSE-SU-2019:14157-1, SUSE-SU-2019:2068-1, SUSE-SU-2019:2069-1, SUSE-SU-2019:2070-1, SUSE-SU-2019:2071-1, SUSE-SU-2019:2072-1, SUSE-SU-2019:2073-1, SUSE-SU-2019:2262-1, SUSE-SU-2019:2263-1, SUSE-SU-2019:2299-1, SUSE-SU-2019:2430-1, SUSE-SU-2019:2450-1, SWAPGS, Synology-SA-19:32, USN-4093-1, USN-4094-1, USN-4095-1, USN-4095-2, USN-4096-1, VIGILANCE-VUL-29962.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire via SWAPGS de Intel 64-bit CPU, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de faille CVE-2019-1559

OpenSSL 1.0.2 : obtention d'information via 0-byte Record Padding Oracle

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via 0-byte Record Padding Oracle de OpenSSL 1.0.2, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 26/02/2019.
Références : bulletinapr2019, bulletinjul2019, CERTFR-2019-AVI-080, CERTFR-2019-AVI-132, CERTFR-2019-AVI-214, CERTFR-2019-AVI-325, cpuapr2019, cpujul2019, cpuoct2019, CVE-2019-1559, DLA-1701-1, DSA-4400-1, FEDORA-2019-00c25b9379, ibm10876638, ibm10886237, ibm10886659, JSA10949, openSUSE-SU-2019:1076-1, openSUSE-SU-2019:1105-1, openSUSE-SU-2019:1173-1, openSUSE-SU-2019:1175-1, openSUSE-SU-2019:1432-1, openSUSE-SU-2019:1637-1, RHBUG-1683804, RHBUG-1683807, RHSA-2019:2304-01, RHSA-2019:2471-01, SB10282, SSA:2019-057-01, SSB-439005, STORM-2019-001, SUSE-SU-2019:0572-1, SUSE-SU-2019:0600-1, SUSE-SU-2019:0658-1, SUSE-SU-2019:0803-1, SUSE-SU-2019:0818-1, SUSE-SU-2019:1362-1, SUSE-SU-2019:14091-1, SUSE-SU-2019:14092-1, SUSE-SU-2019:1553-1, SUSE-SU-2019:1608-1, SYMSA1490, TNS-2019-02, USN-3899-1, VIGILANCE-VUL-28600.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via 0-byte Record Padding Oracle de OpenSSL 1.0.2, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de faille informatique CVE-2018-20850

Stormshield Network Security : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Stormshield Network Security, afin d'exécuter du code JavaScript dans le contexte du site web.
Gravité : 2/4.
Date création : 07/02/2019.
Références : CVE-2018-20850, STORM-2018-006, VIGILANCE-VUL-28462.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Stormshield Network Security dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Stormshield Network Security, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2019-3822

libcurl : buffer overflow via NTLM Type-3

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via NTLM Type-3 de libcurl, afin de mener un déni de service, et éventuellement d'exécuter du code.
Gravité : 3/4.
Date création : 06/02/2019.
Références : bulletinjan2019, bulletinoct2019, cpuapr2019, cpujul2019, CVE-2019-3822, DLA-1672-1, DSA-4386-1, FEDORA-2019-43489941ff, openSUSE-SU-2019:0173-1, openSUSE-SU-2019:0174-1, RHSA-2019:3701-01, SSA:2019-037-01, STORM-2019-002, SUSE-SU-2019:0248-1, SUSE-SU-2019:0249-1, SUSE-SU-2019:0249-2, SUSE-SU-2019:0339-1, USN-3882-1, VIGILANCE-VUL-28444.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via NTLM Type-3 de libcurl, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

menace CVE-2018-16890

libcurl : lecture de mémoire hors plage prévue via NTLM Type-2

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via NTLM Type-2 de libcurl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 06/02/2019.
Références : bulletinjan2019, cpuapr2019, cpujul2019, CVE-2018-16890, DLA-1672-1, DSA-4386-1, FEDORA-2019-43489941ff, K03314397, openSUSE-SU-2019:0173-1, openSUSE-SU-2019:0174-1, RHSA-2019:3701-01, SSA:2019-037-01, STORM-2019-002, SUSE-SU-2019:0248-1, SUSE-SU-2019:0249-1, SUSE-SU-2019:0249-2, SUSE-SU-2019:0339-1, USN-3882-1, VIGILANCE-VUL-28443.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via NTLM Type-2 de libcurl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte cybersécurité CVE-2018-16842

libcurl : lecture de mémoire hors plage prévue via Warning Message

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via Warning Message de libcurl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 31/10/2018.
Références : bulletinoct2018, CVE-2018-16842, DLA-1568-1, DSA-2019-114, DSA-4331-1, FEDORA-2018-298a3d2923, FEDORA-2018-69bac0f51c, FEDORA-2018-7785911c9e, FEDORA-2018-fdc4ca8675, openSUSE-SU-2018:3699-1, openSUSE-SU-2018:3706-1, RHSA-2019:2181-01, SSA:2018-304-01, STORM-2019-002, SUSE-SU-2018:3624-1, SUSE-SU-2018:3681-1, SUSE-SU-2019:0339-1, USN-3805-1, USN-3805-2, VIGILANCE-VUL-27650.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via Warning Message de libcurl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Airbus Stormshield Network Security :