L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de ArcGIS for Server

annonce de vulnérabilité informatique 21617

ESRI ArcGIS Server : multiples vulnérabilités

Synthèse de la vulnérabilité

Produits concernés : ArcGIS for Server.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/01/2017.
Références : VIGILANCE-VUL-21617.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ESRI ArcGIS Server.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 17236

ArcGIS for Desktop, Server : multiple Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer plusieurs Cross Site Scripting de ArcGIS for Desktop, Server, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : source unique (2/5).
Date création : 25/06/2015.
Références : VIGILANCE-VUL-17236.

Description de la vulnérabilité

Le produit ArcGIS for Desktop, Server dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être enregistrées puis insérées dans les documents HTML générés.

Un attaquant peut donc provoquer plusieurs Cross Site Scripting de ArcGIS for Desktop, Server, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 16827

ArcGIS for Server : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ArcGIS for Server.
Produits concernés : ArcGIS for Server.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 06/05/2015.
Références : BUG-000084735, BUG-000084738, VIGILANCE-VUL-16827.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ArcGIS for Server.

Un attaquant peut provoquer un Cross Site Scripting dans ArcGIS, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; BUG-000084738]

Un attaquant peut provoquer un Cross Site Scripting dans Rest Services, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; BUG-000084735]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2014-3566

ArcGIS for Server : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ArcGIS for Server.
Produits concernés : ArcGIS for Server.
Gravité : 3/4.
Conséquences : accès/droits client, lecture de données, création/modification de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/02/2015.
Références : CERTFR-2014-ALE-007, CVE-2014-3566, VIGILANCE-VUL-16132, VU#577193.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ArcGIS for Server.

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]

Un attaquant peut tromper l'utilisateur, afin de le rediriger vers un site illicite. [grav:1/4]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]

Un attaquant, placé en Man-in-the-Middle, peut déchiffrer une session SSL 3.0, afin d'obtenir des informations sensibles (VIGILANCE-VUL-15485). [grav:3/4; CERTFR-2014-ALE-007, CVE-2014-3566, VU#577193]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 15788

ArcGIS for Server : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ArcGIS for Server.
Produits concernés : ArcGIS for Server.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/12/2014.
Références : VIGILANCE-VUL-15788.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ArcGIS for Server.

Un attaquant peut accéder à des portions d'images (tile) récemment utilisées, afin d'obtenir des informations sensibles. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2014-0160

OpenSSL : obtention d'information via Heartbeat

Synthèse de la vulnérabilité

Un attaquant peut employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Produits concernés : Tomcat, ArubaOS, i-Suite, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, ARCserve Backup, ASA, Cisco Catalyst, IOS XE Cisco, Prime Infrastructure, Cisco PRSM, Cisco Router, Cisco CUCM, Cisco IP Phone, Cisco Unity ~ précis, XenDesktop, MIMEsweeper, Clearswift Email Gateway, Clearswift Web Gateway, Debian, ECC, PowerPath, ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiClient, FortiGate, FortiGate Virtual Appliance, FortiOS, FreeBSD, HP Diagnostics, LoadRunner, Performance Center, AIX, WebSphere MQ, WS_FTP Server, IVE OS, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SA, Juniper UAC, LibreOffice, MBS, McAfee Email Gateway, ePO, GroupShield, McAfee NGFW, VirusScan, McAfee Web Gateway, Windows 8, Windows RT, MySQL Enterprise, NetBSD, OpenBSD, OpenSSL, openSUSE, Opera, Solaris, pfSense, HDX, RealPresence Collaboration Server, Polycom VBP, Puppet, RHEL, RSA Authentication Manager, SIMATIC, Slackware, Sophos AV, Splunk Enterprise, Stonesoft NGFW/VPN, stunnel, ASE, OfficeScan, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, VMware Player, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, VMware Workstation, Websense Email Security, Websense Web Filter, Websense Web Security.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 08/04/2014.
Références : 1669839, 190438, 2076225, 2962393, c04236102, c04267775, c04286049, CA20140413-01, CERTFR-2014-ALE-003, CERTFR-2014-AVI-156, CERTFR-2014-AVI-161, CERTFR-2014-AVI-162, CERTFR-2014-AVI-167, CERTFR-2014-AVI-169, CERTFR-2014-AVI-177, CERTFR-2014-AVI-178, CERTFR-2014-AVI-179, CERTFR-2014-AVI-180, CERTFR-2014-AVI-181, CERTFR-2014-AVI-198, CERTFR-2014-AVI-199, CERTFR-2014-AVI-213, cisco-sa-20140409-heartbleed, CTX140605, CVE-2014-0160, CVE-2014-0346-REJECT, DSA-2896-1, DSA-2896-2, emr_na-c04236102-7, ESA-2014-034, ESA-2014-036, ESA-2014-075, FEDORA-2014-4879, FEDORA-2014-4910, FEDORA-2014-4982, FEDORA-2014-4999, FG-IR-14-011, FreeBSD-SA-14:06.openssl, Heartbleed, HPSBMU02995, HPSBMU03025, HPSBMU03040, ICSA-14-105-03, JSA10623, MDVSA-2014:123, MDVSA-2015:062, NetBSD-SA2014-004, openSUSE-SU-2014:0492-1, openSUSE-SU-2014:0560-1, openSUSE-SU-2014:0719-1, pfSense-SA-14_04.openssl, RHSA-2014:0376-01, RHSA-2014:0377-01, RHSA-2014:0378-01, RHSA-2014:0396-01, RHSA-2014:0416-01, SA40005, SA79, SB10071, SOL15159, SPL-82696, SSA:2014-098-01, SSA-635659, SSRT101565, USN-2165-1, VIGILANCE-VUL-14534, VMSA-2014-0004, VMSA-2014-0004.1, VMSA-2014-0004.2, VMSA-2014-0004.3, VMSA-2014-0004.6, VMSA-2014-0004.7, VU#720951.

Description de la vulnérabilité

L'extension Heartbeat de TLS (RFC 6520) assure une fonctionnalité de keep-alive, sans effectuer de renégociation. Pour cela, des données aléatoires sont échangées (payload).

La version 1.0.1 de OpenSSL implémente Heartbeat, qui est activé par défaut. La fonction [d]tls1_process_heartbeat() gère les messages Heartbeat. Cependant, elle ne vérifie pas la taille des données aléatoires, et continue à lire après la fin du payload, puis envoie la zone mémoire complète (jusqu'à 64ko) à l'autre extrémité (client ou serveur).

Un attaquant peut donc employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-5221 CVE-2013-5222 CVE-2013-7231

ArcGIS for Server : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ArcGIS for Server.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données, création/modification de données, effacement de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 06/09/2013.
Références : 41468, 41497, 41498, BID-62691, BID-62889, CVE-2013-5221, CVE-2013-5222, CVE-2013-7231, CVE-2013-7232, NIM092795, NIM092820, NIM093227, NIM094447, VIGILANCE-VUL-13359.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ArcGIS for Server.

Un attaquant peut provoquer un Cross Site Scripting persistant de Mobile Content Directory, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 41468, BID-62889, CVE-2013-5222, CVE-2013-7231, NIM092820]

Un attaquant peut provoquer un Cross Site Scripting non persistant, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 41498, BID-62889, CVE-2013-5222, NIM093227]

Un administrateur peut uploader n'importe quel type de fichier sur le serveur. [grav:2/4; 41497, BID-62691, CVE-2013-5221, NIM092795]

Un attaquant peut provoquer une injection SQL dans le service Map/Feature, afin de lire ou modifier des données. [grav:2/4; CVE-2013-7232, NIM094447]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 12830

ArcGIS Server : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL dans ArcGIS Server, afin de lire ou modifier des données.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/05/2013.
Références : NIM084249, VIGILANCE-VUL-12830.

Description de la vulnérabilité

Le produit ArcGIS Server permet aux utilisateurs d'effectuer des recherches sur les cartes.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL dans ArcGIS Server, afin de lire ou modifier des données.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 12168

ArcGIS : fuite d'informations sur les tables de base de données

Synthèse de la vulnérabilité

Un attaquant qui déclenche une erreur coté serveur, peut obtenir des informations sur la structure de la base de données.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/11/2012.
Références : NIM085361, VIGILANCE-VUL-12168.

Description de la vulnérabilité

ArcGIS utilise une base de données relationnelle.

Un attaquant qui déclenche une erreur coté serveur, peut obtenir des informations sur la structure de la base de données.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2012-4949

ArcGIS Web Server : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut utiliser l'interface REST du serveur web ArcGIS, pour injecter des commandes SQL, afin de lire ou modifier des données.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client intranet.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 12/11/2012.
Références : BID-56474, CVE-2012-4949, NIM084249, VIGILANCE-VUL-12128, VU#795644.

Description de la vulnérabilité

Le serveur web ArcGIS dispose d'une interface REST, accessible sur le port 6080/tcp, afin que les utilisateurs puissent interroger le service à distance.

Le paramètre "where" de la fonctionnalité "query" permet de filtrer des requêtes. Cependant, ce paramètre n'est pas filtré, avant d'être injecté dans une requête SQL.

Un attaquant peut donc utiliser l'interface REST du serveur web ArcGIS, pour injecter des commandes SQL, afin de lire ou modifier des données.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur ArcGIS for Server :