L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de ArcGIS Pro

vulnérabilité informatique CVE-2015-2000 CVE-2015-2001 CVE-2015-2002

Android : élévation de privilèges via Serialization

Synthèse de la vulnérabilité

Un attaquant local, ou une application illicite, peut utiliser la Serialization sur Android OS, afin d'élever ses privilèges.
Produits concernés : Android Applications ~ non exhaustif, ArcGIS for Desktop, Android OS, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 12/08/2015.
Références : CVE-2015-2000, CVE-2015-2001, CVE-2015-2002, CVE-2015-2003, CVE-2015-2004, CVE-2015-2020, CVE-2015-3825-REJECT, CVE-2015-3837, VIGILANCE-VUL-17645.

Description de la vulnérabilité

Une classe Java peut :
 - être sérialisable, et
 - contenir la méthode finalize(), et
 - contenir un attribut modifiable par l'utilisateur.

Cependant, dans ce cas, un attaquant peut modifier l'attribut, et ainsi injecter du code qui exécuté durant la méthode finalize() par le ramasse miette de Android.

Il existe plusieurs classes Java possédant les trois caractéristiques nécessaires :
 - la classe OpenSSLX509Certificate de Android OS (CVE-2015-3825, CVE-2015-3837)
 - les classes du SDK Jumio (CVE-2015-2000), utilisées par les applications construites avec ce SDK
 - les classes du SDK MetaIO (CVE-2015-2001), utilisées par les applications construites avec ce SDK
 - les classes du SDK PJSIP PJSUA2 (CVE-2015-2003), utilisées par les applications construites avec ce SDK
 - les classes du SDK GraceNote GNSDK (CVE-2015-2004), utilisées par les applications construites avec ce SDK
 - les classes du SDK MyScript (CVE-2015-2020), utilisées par les applications construites avec ce SDK
 - les classes du SDK esri ArcGis (CVE-2015-2002), utilisées par les applications construites avec ce SDK

Un attaquant local, ou une application illicite, peut donc utiliser la sérialisation sur Android OS, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 17236

ArcGIS for Desktop, Server : multiple Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer plusieurs Cross Site Scripting de ArcGIS for Desktop, Server, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 25/06/2015.
Références : VIGILANCE-VUL-17236.

Description de la vulnérabilité

Le produit ArcGIS for Desktop, Server dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être enregistrées puis insérées dans les documents HTML générés.

Un attaquant peut donc provoquer plusieurs Cross Site Scripting de ArcGIS for Desktop, Server, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-0160

OpenSSL : obtention d'information via Heartbeat

Synthèse de la vulnérabilité

Un attaquant peut employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Produits concernés : Tomcat, ArubaOS, i-Suite, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, ARCserve Backup, ASA, Cisco Catalyst, IOS XE Cisco, Prime Infrastructure, Cisco PRSM, Cisco Router, Cisco CUCM, Cisco IP Phone, Cisco Unity ~ précis, XenDesktop, Clearswift Email Gateway, Clearswift Web Gateway, Debian, ECC, PowerPath, ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiClient, FortiGate, FortiGate Virtual Appliance, FortiOS, FreeBSD, HP Diagnostics, LoadRunner, Performance Center, AIX, WebSphere MQ, IVE OS, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SA, Juniper UAC, LibreOffice, McAfee Email Gateway, ePO, GroupShield, McAfee NGFW, VirusScan, McAfee Web Gateway, Windows 8, Windows RT, MySQL Enterprise, NetBSD, OpenBSD, OpenSSL, openSUSE, Opera, Solaris, pfSense, HDX, RealPresence Collaboration Server, Polycom VBP, Puppet, RHEL, RSA Authentication Manager, SIMATIC, Slackware, Sophos AV, Splunk Enterprise, Stonesoft NGFW/VPN, stunnel, ASE, OfficeScan, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, VMware Player, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, VMware Workstation, Websense Email Security, Websense Web Filter, Websense Web Security.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 08/04/2014.
Références : 1669839, 190438, 2076225, 2962393, c04236102, c04267775, c04286049, CA20140413-01, CERTFR-2014-ALE-003, CERTFR-2014-AVI-156, CERTFR-2014-AVI-161, CERTFR-2014-AVI-162, CERTFR-2014-AVI-167, CERTFR-2014-AVI-169, CERTFR-2014-AVI-177, CERTFR-2014-AVI-178, CERTFR-2014-AVI-179, CERTFR-2014-AVI-180, CERTFR-2014-AVI-181, CERTFR-2014-AVI-198, CERTFR-2014-AVI-199, CERTFR-2014-AVI-213, cisco-sa-20140409-heartbleed, CTX140605, CVE-2014-0160, CVE-2014-0346-REJECT, DSA-2896-1, DSA-2896-2, emr_na-c04236102-7, ESA-2014-034, ESA-2014-036, ESA-2014-075, FEDORA-2014-4879, FEDORA-2014-4910, FEDORA-2014-4982, FEDORA-2014-4999, FG-IR-14-011, FreeBSD-SA-14:06.openssl, Heartbleed, HPSBMU02995, HPSBMU03025, HPSBMU03040, ICSA-14-105-03, JSA10623, MDVSA-2014:123, MDVSA-2015:062, NetBSD-SA2014-004, openSUSE-SU-2014:0492-1, openSUSE-SU-2014:0560-1, openSUSE-SU-2014:0719-1, pfSense-SA-14_04.openssl, RHSA-2014:0376-01, RHSA-2014:0377-01, RHSA-2014:0378-01, RHSA-2014:0396-01, RHSA-2014:0416-01, SA40005, SA79, SB10071, SOL15159, SPL-82696, SSA:2014-098-01, SSA-635659, SSRT101565, USN-2165-1, VIGILANCE-VUL-14534, VMSA-2014-0004, VMSA-2014-0004.1, VMSA-2014-0004.2, VMSA-2014-0004.3, VMSA-2014-0004.6, VMSA-2014-0004.7, VU#720951.

Description de la vulnérabilité

L'extension Heartbeat de TLS (RFC 6520) assure une fonctionnalité de keep-alive, sans effectuer de renégociation. Pour cela, des données aléatoires sont échangées (payload).

La version 1.0.1 de OpenSSL implémente Heartbeat, qui est activé par défaut. La fonction [d]tls1_process_heartbeat() gère les messages Heartbeat. Cependant, elle ne vérifie pas la taille des données aléatoires, et continue à lire après la fin du payload, puis envoie la zone mémoire complète (jusqu'à 64ko) à l'autre extrémité (client ou serveur).

Un attaquant peut donc employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-5221 CVE-2013-5222 CVE-2013-7231

ArcGIS for Server : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ArcGIS for Server.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données, création/modification de données, effacement de données.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 06/09/2013.
Références : 41468, 41497, 41498, BID-62691, BID-62889, CVE-2013-5221, CVE-2013-5222, CVE-2013-7231, CVE-2013-7232, NIM092795, NIM092820, NIM093227, NIM094447, VIGILANCE-VUL-13359.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ArcGIS for Server.

Un attaquant peut provoquer un Cross Site Scripting persistant de Mobile Content Directory, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 41468, BID-62889, CVE-2013-5222, CVE-2013-7231, NIM092820]

Un attaquant peut provoquer un Cross Site Scripting non persistant, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 41498, BID-62889, CVE-2013-5222, NIM093227]

Un administrateur peut uploader n'importe quel type de fichier sur le serveur. [grav:2/4; 41497, BID-62691, CVE-2013-5221, NIM092795]

Un attaquant peut provoquer une injection SQL dans le service Map/Feature, afin de lire ou modifier des données. [grav:2/4; CVE-2013-7232, NIM094447]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 13053

ESRI ArcGIS for Desktop : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL dans ESRI ArcGIS for Desktop, afin de lire ou modifier des données.
Produits concernés : ArcGIS for Desktop.
Gravité : 1/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : shell utilisateur.
Date création : 08/07/2013.
Références : VIGILANCE-VUL-13053.

Description de la vulnérabilité

ESRI ArcGIS for Desktop est un outil de création de cartes géographiques.

Il peut être utilisé avec une base de données relationnelle. Cependant, pour une requête particulière, les données provenant de l'utilisateur sont directement insérées dans la clause WHERE d'une requête SQL. Les détails de la requête concernée ne sont pas connus.

Un attaquant peut donc provoquer une injection SQL dans ESRI ArcGIS for Desktop, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité 12830

ArcGIS Server : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL dans ArcGIS Server, afin de lire ou modifier des données.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Date création : 15/05/2013.
Références : NIM084249, VIGILANCE-VUL-12830.

Description de la vulnérabilité

Le produit ArcGIS Server permet aux utilisateurs d'effectuer des recherches sur les cartes.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL dans ArcGIS Server, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 12168

ArcGIS : fuite d'informations sur les tables de base de données

Synthèse de la vulnérabilité

Un attaquant qui déclenche une erreur coté serveur, peut obtenir des informations sur la structure de la base de données.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 16/11/2012.
Références : NIM085361, VIGILANCE-VUL-12168.

Description de la vulnérabilité

ArcGIS utilise une base de données relationnelle.

Un attaquant qui déclenche une erreur coté serveur, peut obtenir des informations sur la structure de la base de données.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2012-4949

ArcGIS Web Server : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut utiliser l'interface REST du serveur web ArcGIS, pour injecter des commandes SQL, afin de lire ou modifier des données.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client intranet.
Date création : 12/11/2012.
Références : BID-56474, CVE-2012-4949, NIM084249, VIGILANCE-VUL-12128, VU#795644.

Description de la vulnérabilité

Le serveur web ArcGIS dispose d'une interface REST, accessible sur le port 6080/tcp, afin que les utilisateurs puissent interroger le service à distance.

Le paramètre "where" de la fonctionnalité "query" permet de filtrer des requêtes. Cependant, ce paramètre n'est pas filtré, avant d'être injecté dans une requête SQL.

Un attaquant peut donc utiliser l'interface REST du serveur web ArcGIS, pour injecter des commandes SQL, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2012-1661

ESRI ArcGIS : exécution de macro via MXD

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un fichier MXD illicite avec ArcGIS, afin de faire exécuter une macro Visual Basic sur sa machine.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 14/06/2012.
Références : 40384, BID-53988, CVE-2012-1661, VIGILANCE-VUL-11708.

Description de la vulnérabilité

Le logiciel ArcMap (ArcGIS for Desktop) crée des fichiers géographiques avec l'extension MXD.

Ces fichiers peuvent contenir des macros Visual Basic. Cependant, lorsqu'un document est ouvert, et si VBA a été installé, ces macros sont exécutées sans demander l'autorisation à l'utilisateur.

Un attaquant peut donc inviter la victime à ouvrir un fichier MXD illicite avec ArcGIS, afin de faire exécuter une macro Visual Basic sur sa machine.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 11517

ArcGIS : exécution de code via TeeChart Professional

Synthèse de la vulnérabilité

Un attaquant peut créer une page web appelant l'ActiveX TeeChart Professional, qui est installé par les produits ArcGIS, afin de faire exécuter du code sur la machine de la victime consultant cette page avec Internet Explorer.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 03/04/2012.
Références : BID-49125, NIM074916, SS-2011-007, VIGILANCE-VUL-11517.

Description de la vulnérabilité

Les produits ArcGIS installent l'ActiveX TeeChart Professional afin de dessiner des graphes de statistiques.

La méthode AddSeries() de TeeChart.TChart.9 ajoute une série de nombres pour les graphes. Cependant, un paramètre est utilisé pour calculer l'adresse d'une fonction de callback. Un attaquant peut alors forcer l'utilisation d'une fonction illicite, afin de faire exécuter du code.

Un attaquant peut donc créer une page web appelant l'ActiveX TeeChart Professional, qui est installé par les produits ArcGIS, afin de faire exécuter du code sur la machine de la victime consultant cette page avec Internet Explorer.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur ArcGIS Pro :