L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Bea Systems Tuxedo

menace cybersécurité CVE-2007-2694 CVE-2007-2695 CVE-2007-2696

WebLogic, Tuxedo : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut exploiter plusieurs vulnérabilités de WebLogic Server/Express et Tuxedo.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 11.
Date création : 15/05/2007.
Date révision : 29/05/2019.
Références : BEA05-80.02, BEA07-158.00, BEA07-159.00, BEA07-160.00, BEA07-161.00, BEA07-162.00, BEA07-163.00, BEA07-164.00, BEA07-164.01, BEA07-165.00, BEA07-168.00, BEA07-169.00, BEA07-80.03, BEA08-159.01, BEA08-80.04, BID-23979, CVE-2007-2694, CVE-2007-2695, CVE-2007-2696, CVE-2007-2697, CVE-2007-2698, CVE-2007-2699, CVE-2007-2700, CVE-2007-2701, CVE-2007-2704, CVE-2007-2705, CVE-2008-0902, VIGILANCE-VUL-6816.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut exploiter plusieurs vulnérabilités de WebLogic Server/Express, Tuxedo.

Plusieurs vulnérabilités de type Cross Site Scripting peuvent être menées. [grav:3/4; BEA05-80.02, BEA07-80.03, BEA08-80.04, CVE-2007-2694, CVE-2008-0902]

Les commandes cnsbind, cnsunbind et cnsls de Tuxedo peuvent afficher des informations sensibles. [grav:3/4; BEA07-158.00]

Certaines requêtes via WebLogic HttpClusterServlet ou HttpProxyServlet, configuré avec le paramètre SecureProxy, peuvent être exécutées avec des privilèges élevés. [grav:3/4; BEA07-159.00, BEA08-159.01, CVE-2007-2695]

Le backend JMS n'effectue pas les vérifications de sécurité. [grav:3/4; BEA07-160.00, CVE-2007-2696]

Le serveur LDAP ne limite pas le nombre de tentatives de connexion. [grav:3/4; BEA07-161.00, CVE-2007-2697]

La console d'aministration peut afficher certains attributs sensibles en clair. [grav:3/4; BEA07-162.00, CVE-2007-2698]

Le script WLST généré par configToScript contient un mot de passe en clair. [grav:3/4; BEA07-163.00, CVE-2007-2700]

Tous les Deployer peuvent déployer une application malgré la configuration des Domain Security Policies. [grav:3/4; BEA07-164.00, BEA07-164.01, CVE-2007-2699]

Un WebLogic JMS Bridge peut transférer un message à une queue protégée. [grav:3/4; BEA07-165.00, CVE-2007-2701]

Un attaquant peut mener un déni de service en se connectant sur un port SSL dans un état half-closed. [grav:3/4; BEA07-168.00, CVE-2007-2704]

Les signatures RSA sont incorrectement vérifiées lorsque l'exposant vaut 3 (VIGILANCE-VUL-6140). [grav:3/4; BEA07-169.00, CVE-2007-2705]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de menace informatique CVE-2018-2587 CVE-2018-2628 CVE-2018-2739

Oracle Fusion Middleware : vulnérabilités de avril 2018

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 10.
Date création : 18/04/2018.
Date révision : 19/04/2019.
Références : cpuapr2018, CVE-2018-2587, CVE-2018-2628, CVE-2018-2739, CVE-2018-2760, CVE-2018-2765, CVE-2018-2770, CVE-2018-2791, CVE-2018-2828, CVE-2018-2834, CVE-2018-2879, VIGILANCE-VUL-25897.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-14720

jackson-databind : injection d'entité XML externe via JDK Classes

Synthèse de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes via JDK Classes à jackson-databind, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Gravité : 2/4.
Date création : 19/02/2019.
Références : 5048, cpuapr2019, cpujan2019, cpuoct2019, CVE-2018-14720, DLA-1703-1, DSA-4452-1, FEDORA-2019-df57551f6d, RHSA-2019:0782-01, RHSA-2019:1106-01, RHSA-2019:1107-01, RHSA-2019:1108-01, RHSA-2019:1140-01, VIGILANCE-VUL-28548.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes via JDK Classes à jackson-databind, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de faille CVE-2018-14721

jackson-databind : obtention d'information via axis2-jaxws SSRF

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via axis2-jaxws SSRF de jackson-databind, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 19/02/2019.
Références : 5048, cpuapr2019, cpujan2019, cpuoct2019, CVE-2018-14721, DLA-1703-1, DSA-4452-1, FEDORA-2019-df57551f6d, RHSA-2019:0782-01, RHSA-2019:1106-01, RHSA-2019:1107-01, RHSA-2019:1108-01, RHSA-2019:1140-01, VIGILANCE-VUL-28547.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via axis2-jaxws SSRF de jackson-databind, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de menace informatique CVE-2019-3823

libcurl : lecture de mémoire hors plage prévue via SMTP End-of-Response

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via SMTP End-of-Response de libcurl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 06/02/2019.
Références : bulletinjan2019, cpuapr2019, cpujul2019, CVE-2019-3823, DLA-1672-1, DSA-4386-1, FEDORA-2019-43489941ff, openSUSE-SU-2019:0173-1, openSUSE-SU-2019:0174-1, RHSA-2019:3701-01, SSA:2019-037-01, SUSE-SU-2019:0248-1, SUSE-SU-2019:0249-1, SUSE-SU-2019:0249-2, SUSE-SU-2019:0339-1, USN-3882-1, VIGILANCE-VUL-28445.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via SMTP End-of-Response de libcurl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2019-3822

libcurl : buffer overflow via NTLM Type-3

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via NTLM Type-3 de libcurl, afin de mener un déni de service, et éventuellement d'exécuter du code.
Gravité : 3/4.
Date création : 06/02/2019.
Références : bulletinjan2019, bulletinoct2019, cpuapr2019, cpujul2019, CVE-2019-3822, DLA-1672-1, DSA-4386-1, FEDORA-2019-43489941ff, openSUSE-SU-2019:0173-1, openSUSE-SU-2019:0174-1, RHSA-2019:3701-01, SSA:2019-037-01, STORM-2019-002, SUSE-SU-2019:0248-1, SUSE-SU-2019:0249-1, SUSE-SU-2019:0249-2, SUSE-SU-2019:0339-1, USN-3882-1, VIGILANCE-VUL-28444.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via NTLM Type-3 de libcurl, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

menace CVE-2018-16890

libcurl : lecture de mémoire hors plage prévue via NTLM Type-2

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via NTLM Type-2 de libcurl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 06/02/2019.
Références : bulletinjan2019, cpuapr2019, cpujul2019, CVE-2018-16890, DLA-1672-1, DSA-4386-1, FEDORA-2019-43489941ff, K03314397, openSUSE-SU-2019:0173-1, openSUSE-SU-2019:0174-1, RHSA-2019:3701-01, SSA:2019-037-01, STORM-2019-002, SUSE-SU-2019:0248-1, SUSE-SU-2019:0249-1, SUSE-SU-2019:0249-2, SUSE-SU-2019:0339-1, USN-3882-1, VIGILANCE-VUL-28443.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via NTLM Type-2 de libcurl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce cyber-sécurité CVE-2018-5407

OpenSSL : obtention d'information via ECC Scalar Multiplication

Synthèse de la vulnérabilité

Sur un processeur Intel (VIGILANCE-VUL-27667), un attaquant peut mesurer le temps d'exécution de la multiplication scalaire ECC de OpenSSL, afin de retrouver la clé utilisée.
Gravité : 1/4.
Date création : 12/11/2018.
Références : bulletinjan2019, CERTFR-2018-AVI-607, CERTFR-2019-AVI-242, cpuapr2019, cpujan2019, cpujul2019, CVE-2018-5407, DLA-1586-1, DSA-4348-1, DSA-4355-1, ibm10794537, ibm10875298, ibm10886313, K49711130, openSUSE-SU-2018:3903-1, openSUSE-SU-2018:4050-1, openSUSE-SU-2018:4104-1, openSUSE-SU-2019:0088-1, openSUSE-SU-2019:0234-1, RHSA-2019:0483-01, RHSA-2019:2125-01, SSA:2018-325-01, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2018:3866-1, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:0117-1, SUSE-SU-2019:0395-1, SUSE-SU-2019:1553-1, SYMSA1490, TNS-2018-16, TNS-2018-17, USN-3840-1, VIGILANCE-VUL-27760.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Sur un processeur Intel (VIGILANCE-VUL-27667), un attaquant peut mesurer le temps d'exécution de la multiplication scalaire ECC de OpenSSL, afin de retrouver la clé utilisée.
Bulletin Vigil@nce complet... (Essai gratuit)

faille informatique CVE-2018-5407

Processeurs Intel : obtention d'information via SMT/Hyper-Threading PortSmash

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via SMT/Hyper-Threading PortSmash sur un processeurs Intel, afin d'obtenir des informations sensibles.
Gravité : 1/4.
Date création : 05/11/2018.
Références : 530514, bulletinjan2019, CERTFR-2019-AVI-242, cpuapr2019, cpujan2019, cpujul2019, CVE-2018-5407, DSA-2018-030, DSA-4348-1, DSA-4355-1, ibm10794537, K49711130, openSUSE-SU-2018:4050-1, openSUSE-SU-2018:4104-1, openSUSE-SU-2019:0088-1, openSUSE-SU-2019:0234-1, RHSA-2019:2125-01, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:0117-1, SUSE-SU-2019:0395-1, SUSE-SU-2019:1553-1, USN-3840-1, VIGILANCE-VUL-27667.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via SMT/Hyper-Threading PortSmash sur un processeurs Intel, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-0734

OpenSSL : obtention d'information via DSA Signature Generation

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via DSA Signature Generation de OpenSSL, afin d'obtenir des informations sensibles.
Gravité : 1/4.
Date création : 30/10/2018.
Références : bulletinapr2019, bulletinjan2019, CERTFR-2018-AVI-607, cpuapr2019, cpujan2019, cpujul2019, CVE-2018-0734, DSA-4348-1, DSA-4355-1, FEDORA-2019-00c25b9379, ibm10794537, ibm10875298, openSUSE-SU-2018:3890-1, openSUSE-SU-2018:3903-1, openSUSE-SU-2018:4050-1, openSUSE-SU-2018:4104-1, openSUSE-SU-2019:0084-1, openSUSE-SU-2019:0088-1, openSUSE-SU-2019:0138-1, openSUSE-SU-2019:0234-1, openSUSE-SU-2019:1547-1, openSUSE-SU-2019:1814-1, RHSA-2019:2304-01, RHSA-2019:3700-01, SSA:2018-325-01, SUSE-SU-2018:3863-1, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2018:3866-1, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:0117-1, SUSE-SU-2019:0395-1, SUSE-SU-2019:1553-1, TNS-2018-16, TNS-2018-17, USN-3840-1, VIGILANCE-VUL-27640.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via DSA Signature Generation de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Bea Systems Tuxedo :