L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de ArcView

avis de vulnérabilité CVE-2014-0160

OpenSSL : obtention d'information via Heartbeat

Synthèse de la vulnérabilité

Un attaquant peut employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Produits concernés : Tomcat, ArubaOS, i-Suite, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, ARCserve Backup, ASA, Cisco Catalyst, IOS XE Cisco, Prime Infrastructure, Cisco PRSM, Cisco Router, Cisco CUCM, Cisco IP Phone, Cisco Unity ~ précis, XenDesktop, MIMEsweeper, Clearswift Email Gateway, Clearswift Web Gateway, Debian, ECC, PowerPath, ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiClient, FortiGate, FortiGate Virtual Appliance, FortiOS, FreeBSD, HP Diagnostics, LoadRunner, Performance Center, AIX, WebSphere MQ, WS_FTP Server, IVE OS, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SA, Juniper UAC, LibreOffice, MBS, McAfee Email Gateway, ePO, GroupShield, McAfee NGFW, VirusScan, McAfee Web Gateway, Windows 8, Windows RT, MySQL Enterprise, NetBSD, OpenBSD, OpenSSL, openSUSE, Opera, Solaris, pfSense, HDX, RealPresence Collaboration Server, Polycom VBP, Puppet, RHEL, RSA Authentication Manager, SIMATIC, Slackware, Sophos AV, Splunk Enterprise, Stonesoft NGFW/VPN, stunnel, ASE, OfficeScan, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, VMware Player, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, VMware Workstation, Websense Email Security, Websense Web Filter, Websense Web Security.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 08/04/2014.
Références : 1669839, 190438, 2076225, 2962393, c04236102, c04267775, c04286049, CA20140413-01, CERTFR-2014-ALE-003, CERTFR-2014-AVI-156, CERTFR-2014-AVI-161, CERTFR-2014-AVI-162, CERTFR-2014-AVI-167, CERTFR-2014-AVI-169, CERTFR-2014-AVI-177, CERTFR-2014-AVI-178, CERTFR-2014-AVI-179, CERTFR-2014-AVI-180, CERTFR-2014-AVI-181, CERTFR-2014-AVI-198, CERTFR-2014-AVI-199, CERTFR-2014-AVI-213, cisco-sa-20140409-heartbleed, CTX140605, CVE-2014-0160, CVE-2014-0346-REJECT, DSA-2896-1, DSA-2896-2, emr_na-c04236102-7, ESA-2014-034, ESA-2014-036, ESA-2014-075, FEDORA-2014-4879, FEDORA-2014-4910, FEDORA-2014-4982, FEDORA-2014-4999, FG-IR-14-011, FreeBSD-SA-14:06.openssl, Heartbleed, HPSBMU02995, HPSBMU03025, HPSBMU03040, ICSA-14-105-03, JSA10623, MDVSA-2014:123, MDVSA-2015:062, NetBSD-SA2014-004, openSUSE-SU-2014:0492-1, openSUSE-SU-2014:0560-1, openSUSE-SU-2014:0719-1, pfSense-SA-14_04.openssl, RHSA-2014:0376-01, RHSA-2014:0377-01, RHSA-2014:0378-01, RHSA-2014:0396-01, RHSA-2014:0416-01, SA40005, SA79, SB10071, SOL15159, SPL-82696, SSA:2014-098-01, SSA-635659, SSRT101565, USN-2165-1, VIGILANCE-VUL-14534, VMSA-2014-0004, VMSA-2014-0004.1, VMSA-2014-0004.2, VMSA-2014-0004.3, VMSA-2014-0004.6, VMSA-2014-0004.7, VU#720951.

Description de la vulnérabilité

L'extension Heartbeat de TLS (RFC 6520) assure une fonctionnalité de keep-alive, sans effectuer de renégociation. Pour cela, des données aléatoires sont échangées (payload).

La version 1.0.1 de OpenSSL implémente Heartbeat, qui est activé par défaut. La fonction [d]tls1_process_heartbeat() gère les messages Heartbeat. Cependant, elle ne vérifie pas la taille des données aléatoires, et continue à lire après la fin du payload, puis envoie la zone mémoire complète (jusqu'à 64ko) à l'autre extrémité (client ou serveur).

Un attaquant peut donc employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-5221 CVE-2013-5222 CVE-2013-7231

ArcGIS for Server : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ArcGIS for Server.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données, création/modification de données, effacement de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 06/09/2013.
Références : 41468, 41497, 41498, BID-62691, BID-62889, CVE-2013-5221, CVE-2013-5222, CVE-2013-7231, CVE-2013-7232, NIM092795, NIM092820, NIM093227, NIM094447, VIGILANCE-VUL-13359.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ArcGIS for Server.

Un attaquant peut provoquer un Cross Site Scripting persistant de Mobile Content Directory, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 41468, BID-62889, CVE-2013-5222, CVE-2013-7231, NIM092820]

Un attaquant peut provoquer un Cross Site Scripting non persistant, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 41498, BID-62889, CVE-2013-5222, NIM093227]

Un administrateur peut uploader n'importe quel type de fichier sur le serveur. [grav:2/4; 41497, BID-62691, CVE-2013-5221, NIM092795]

Un attaquant peut provoquer une injection SQL dans le service Map/Feature, afin de lire ou modifier des données. [grav:2/4; CVE-2013-7232, NIM094447]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 12830

ArcGIS Server : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL dans ArcGIS Server, afin de lire ou modifier des données.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/05/2013.
Références : NIM084249, VIGILANCE-VUL-12830.

Description de la vulnérabilité

Le produit ArcGIS Server permet aux utilisateurs d'effectuer des recherches sur les cartes.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL dans ArcGIS Server, afin de lire ou modifier des données.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 12168

ArcGIS : fuite d'informations sur les tables de base de données

Synthèse de la vulnérabilité

Un attaquant qui déclenche une erreur coté serveur, peut obtenir des informations sur la structure de la base de données.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/11/2012.
Références : NIM085361, VIGILANCE-VUL-12168.

Description de la vulnérabilité

ArcGIS utilise une base de données relationnelle.

Un attaquant qui déclenche une erreur coté serveur, peut obtenir des informations sur la structure de la base de données.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2012-4949

ArcGIS Web Server : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut utiliser l'interface REST du serveur web ArcGIS, pour injecter des commandes SQL, afin de lire ou modifier des données.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client intranet.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 12/11/2012.
Références : BID-56474, CVE-2012-4949, NIM084249, VIGILANCE-VUL-12128, VU#795644.

Description de la vulnérabilité

Le serveur web ArcGIS dispose d'une interface REST, accessible sur le port 6080/tcp, afin que les utilisateurs puissent interroger le service à distance.

Le paramètre "where" de la fonctionnalité "query" permet de filtrer des requêtes. Cependant, ce paramètre n'est pas filtré, avant d'être injecté dans une requête SQL.

Un attaquant peut donc utiliser l'interface REST du serveur web ArcGIS, pour injecter des commandes SQL, afin de lire ou modifier des données.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2012-1661

ESRI ArcGIS : exécution de macro via MXD

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un fichier MXD illicite avec ArcGIS, afin de faire exécuter une macro Visual Basic sur sa machine.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/06/2012.
Références : 40384, BID-53988, CVE-2012-1661, VIGILANCE-VUL-11708.

Description de la vulnérabilité

Le logiciel ArcMap (ArcGIS for Desktop) crée des fichiers géographiques avec l'extension MXD.

Ces fichiers peuvent contenir des macros Visual Basic. Cependant, lorsqu'un document est ouvert, et si VBA a été installé, ces macros sont exécutées sans demander l'autorisation à l'utilisateur.

Un attaquant peut donc inviter la victime à ouvrir un fichier MXD illicite avec ArcGIS, afin de faire exécuter une macro Visual Basic sur sa machine.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 11517

ArcGIS : exécution de code via TeeChart Professional

Synthèse de la vulnérabilité

Un attaquant peut créer une page web appelant l'ActiveX TeeChart Professional, qui est installé par les produits ArcGIS, afin de faire exécuter du code sur la machine de la victime consultant cette page avec Internet Explorer.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 03/04/2012.
Références : BID-49125, NIM074916, SS-2011-007, VIGILANCE-VUL-11517.

Description de la vulnérabilité

Les produits ArcGIS installent l'ActiveX TeeChart Professional afin de dessiner des graphes de statistiques.

La méthode AddSeries() de TeeChart.TChart.9 ajoute une série de nombres pour les graphes. Cependant, un paramètre est utilisé pour calculer l'adresse d'une fonction de callback. Un attaquant peut alors forcer l'utilisation d'une fonction illicite, afin de faire exécuter du code.

Un attaquant peut donc créer une page web appelant l'ActiveX TeeChart Professional, qui est installé par les produits ArcGIS, afin de faire exécuter du code sur la machine de la victime consultant cette page avec Internet Explorer.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 10887

ESRI ArcGIS Server : lecture de fichier via Image Extension

Synthèse de la vulnérabilité

Un attaquant distant peut employer la fonctionnalité Image Extension de ESRI ArcGIS Server avec un Mosaic Datasets, afin de lire un fichier présent sur le serveur.
Produits concernés : ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 03/08/2011.
Références : VIGILANCE-VUL-10887.

Description de la vulnérabilité

Le produit ArcGIS Server permet de distribuer des données GIS (Geographic Information System). L'extension Image Extension facilite la gestion des images, et des Mosaic Datasets (mosaïques d'images).

Un attaquant distant peut employer la fonctionnalité Image Extension de ESRI ArcGIS Server avec un Mosaic Datasets, afin de lire un fichier présent sur le serveur.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.