| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier. |
|
 |
|
|
Vulnérabilités informatiques de Bea WebLogic Server
jackson-databind : exécution de code via Deserializing
Synthèse de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via Deserializing de jackson-databind, afin d'exécuter du code.
Produits concernés : Debian, Avamar, NetWorker, Unisphere EMC, Oracle Communications, Oracle DB, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Puppet, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 04/05/2018.
Références : 5048, 521680, 521682, 527583, cpuapr2019, cpujan2019, cpujul2018, cpuoct2018, CVE-2018-7489, DSA-2018-096, DSA-2018-102, DSA-2018-207, DSA-4190-1, RHSA-2018:1447-01, RHSA-2018:1448-01, RHSA-2018:1449-01, RHSA-2018:1450-01, RHSA-2018:1451-01, RHSA-2018:2088-01, RHSA-2018:2089-01, RHSA-2018:2090-01, VIGILANCE-VUL-26043.
Description de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via Deserializing de jackson-databind, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
Apache OpenJPA : exécution de code via BrokerFactory
Synthèse de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via BrokerFactory de Apache OpenJPA, afin d'exécuter du code.
Produits concernés : Fedora, QRadar SIEM, Tivoli Storage Manager, WebSphere AS Traditional, Oracle Fusion Middleware, Tuxedo, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 18/04/2018.
Références : 1671636, cpuapr2018, CVE-2013-1768, FEDORA-2013-12948, FEDORA-2013-12960, FEDORA-2013-12967, ibm10719109, MDVSA-2013:246, RHSA-2013:1185-01, swg21639553, swg21640799, swg21644047, swg24034966, swg27007951, VIGILANCE-VUL-25898.
Description de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via BrokerFactory de Apache OpenJPA, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : obtention d'information via RSA Constant Time Key Generation
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via RSA Constant Time Key Generation de OpenSSL, afin d'obtenir des informations sensibles.
Produits concernés : Debian, AIX, BladeCenter, IBM i, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Nodejs Core, OpenBSD, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, VirtualBox, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, X2GoClient.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 17/04/2018.
Références : bulletinjul2018, CERTFR-2018-AVI-511, CERTFR-2018-AVI-607, cpuapr2019, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-0737, DLA-1449-1, DSA-4348-1, DSA-4355-1, ibm10729805, ibm10743283, ibm10880781, JSA10919, openSUSE-SU-2018:2695-1, openSUSE-SU-2018:2957-1, openSUSE-SU-2018:3015-1, openSUSE-SU-2019:0152-1, openSUSE-SU-2019:1432-1, PAN-SA-2018-0015, RHSA-2018:3221-01, SSA:2018-226-01, SUSE-SU-2018:2486-1, SUSE-SU-2018:2492-1, SUSE-SU-2018:2683-1, SUSE-SU-2018:2928-1, SUSE-SU-2018:2965-1, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2019:0197-1, SUSE-SU-2019:0512-1, SUSE-SU-2019:1553-1, TNS-2018-14, TNS-2018-17, TSB17568, USN-3628-1, USN-3628-2, USN-3692-1, USN-3692-2, VIGILANCE-VUL-25884.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via RSA Constant Time Key Generation de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : obtention d'information via Multipart Content
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 10/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1275, VIGILANCE-VUL-25828.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : obtention d'information via Multipart Content
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 06/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1272, RHSA-2018:2669-01, VIGILANCE-VUL-25785.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : traversée de répertoire via Spring MVC
Synthèse de la vulnérabilité
Un attaquant peut traverser les répertoires via Spring MVC de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 06/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1271, RHSA-2018:2669-01, VIGILANCE-VUL-25784.
Description de la vulnérabilité
Un attaquant peut traverser les répertoires via Spring MVC de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : exécution de code via spring-messaging
Synthèse de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via spring-messaging de Spring Framework, afin d'exécuter du code.
Produits concernés : Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Date création : 06/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1270, VIGILANCE-VUL-25783.
Description de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via spring-messaging de Spring Framework, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : déni de service via Recursive ASN.1
Synthèse de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Recursive ASN.1 de OpenSSL, afin de mener un déni de service.
Produits concernés : Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, Avamar, BIG-IP Hardware, TMOS, Fedora, AIX, IBM i, Rational ClearCase, QRadar SIEM, Tivoli Storage Manager, WebSphere MQ, MariaDB ~ précis, McAfee Email Gateway, MySQL Community, MySQL Enterprise, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, RHEL, stunnel, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Synology DSM, Synology DS***, Synology RS***, Ubuntu, X2GoClient.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 27/03/2018.
Références : 2015887, 524146, bulletinjan2019, CERTFR-2018-AVI-155, cpuapr2019, cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-0739, DLA-1330-1, DSA-2018-125, DSA-4157-1, DSA-4158-1, FEDORA-2018-1b4f1158e2, FEDORA-2018-40dc8b8b16, FEDORA-2018-76afaf1961, FEDORA-2018-9490b422e7, ibm10715641, ibm10717211, ibm10717405, ibm10717409, ibm10719319, ibm10733605, ibm10738249, ibm10874728, K08044291, N1022561, openSUSE-SU-2018:0936-1, openSUSE-SU-2018:1057-1, openSUSE-SU-2018:2208-1, openSUSE-SU-2018:2238-1, openSUSE-SU-2018:2524-1, openSUSE-SU-2018:2695-1, PAN-SA-2018-0015, RHSA-2018:3090-01, RHSA-2018:3221-01, SA166, SB10243, SSA-181018, SUSE-SU-2018:0902-1, SUSE-SU-2018:0905-1, SUSE-SU-2018:0906-1, SUSE-SU-2018:0975-1, SUSE-SU-2018:2072-1, SUSE-SU-2018:2158-1, SUSE-SU-2018:2683-1, Synology-SA-18:51, USN-3611-1, USN-3611-2, VIGILANCE-VUL-25666.
Description de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Recursive ASN.1 de OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : élévation de privilèges via HP-UX PA-RISC CRYPTO_memcmp
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions via HP-UX PA-RISC CRYPTO_memcmp() de OpenSSL, afin d'élever ses privilèges.
Produits concernés : Fedora, IBM i, Tivoli Storage Manager, OpenSSL, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 27/03/2018.
Références : CERTFR-2018-AVI-155, cpuapr2019, cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-0733, FEDORA-2018-40dc8b8b16, FEDORA-2018-76afaf1961, ibm10717405, ibm10717409, N1022561, VIGILANCE-VUL-25665.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions via HP-UX PA-RISC CRYPTO_memcmp() de OpenSSL, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit) |
curl : lecture de mémoire hors plage prévue via RTSP RTP
Synthèse de la vulnérabilité
Un attaquant peut forcer la lecture à une adresse invalide via RTSP RTP de curl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : SDS, SES, SNS, OpenOffice, curl, Debian, Unisphere EMC, Fedora, Juniper EX-Series, Junos OS, SRX-Series, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : serveur intranet.
Date création : 14/03/2018.
Références : bulletinapr2018, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-1000122, DLA-1309-1, DSA-2019-114, DSA-4136-1, FEDORA-2018-66c96e0024, FEDORA-2018-8877b4ccac, JSA10874, openSUSE-SU-2018:0794-1, RHSA-2018:3157-01, RHSA-2018:3558-01, SSA:2018-074-01, STORM-2019-002, SUSE-SU-2018:1323-1, USN-3598-1, USN-3598-2, VIGILANCE-VUL-25547.
Description de la vulnérabilité
Un attaquant peut forcer la lecture à une adresse invalide via RTSP RTP de curl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.
Consulter les informations sur Bea WebLogic Server :
|