L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Blue Coat ProxyRA

vulnérabilité informatique CVE-2018-0732

OpenSSL : déni de service via Large DH Parameter

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Large DH Parameter de OpenSSL, afin de mener un déni de service.
Produits concernés : Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, AIX, IBM i, Rational ClearCase, QRadar SIEM, Copssh, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, VirtualBox, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, XtraBackup, XtraDB Cluster, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Nessus, Ubuntu, X2GoClient.
Gravité : 2/4.
Conséquences : déni de service du client.
Provenance : serveur internet.
Date création : 12/06/2018.
Références : bulletinjul2018, CERTFR-2018-AVI-511, CERTFR-2018-AVI-607, cpujan2019, cpuoct2018, CVE-2018-0732, DLA-1449-1, DSA-4348-1, DSA-4355-1, ibm10719319, ibm10729805, ibm10738401, ibm10743283, ibm10874728, JSA10919, K21665601, openSUSE-SU-2018:1906-1, openSUSE-SU-2018:2117-1, openSUSE-SU-2018:2129-1, openSUSE-SU-2018:2667-1, openSUSE-SU-2018:2695-1, openSUSE-SU-2018:2816-1, openSUSE-SU-2018:2855-1, openSUSE-SU-2018:3013-1, openSUSE-SU-2018:3015-1, PAN-SA-2018-0015, RHSA-2018:3221-01, SSA:2018-226-01, SUSE-SU-2018:1887-1, SUSE-SU-2018:1968-1, SUSE-SU-2018:2036-1, SUSE-SU-2018:2041-1, SUSE-SU-2018:2207-1, SUSE-SU-2018:2647-1, SUSE-SU-2018:2683-1, SUSE-SU-2018:2812-1, SUSE-SU-2018:2956-1, SUSE-SU-2018:2965-1, SYMSA1462, TNS-2018-14, TNS-2018-17, USN-3692-1, USN-3692-2, VIGILANCE-VUL-26375.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Large DH Parameter de OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-1834 CVE-2016-1835 CVE-2016-1836

libxml2 : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de libxml2.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, Junos Space, NSM Central Manager, NSMXpress, McAfee Web Gateway, openSUSE, openSUSE Leap, RHEL, SLES, Nessus, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 03/06/2016.
Références : CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, CVE-2016-1834, CVE-2016-1835, CVE-2016-1836, CVE-2016-1837, CVE-2016-1840, DLA-503-1, DSA-3593-1, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, HT206567, HT206568, HT206902, HT206903, JSA10770, JSA10774, K14614344, K16712298, K48220300, openSUSE-SU-2016:1594-1, openSUSE-SU-2016:1595-1, RHSA-2016:1292-01, SA129, SB10170, SUSE-SU-2016:1538-1, SUSE-SU-2016:1604-1, TNS-2017-03, USN-2994-1, VIGILANCE-VUL-19787.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans libxml2.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1834]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1835]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1836]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1837]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1840]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-1762

libxml2 : corruption de mémoire

Synthèse de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, Junos Space, McAfee Web Gateway, openSUSE, openSUSE Leap, RHEL, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 03/06/2016.
Références : CERTFR-2017-AVI-012, CVE-2016-1762, DLA-503-1, DSA-3593-1, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, HT206567, HT206568, JSA10770, K14338030, openSUSE-SU-2016:1594-1, openSUSE-SU-2016:1595-1, RHSA-2016:1292-01, SA129, SB10170, SUSE-SU-2016:1538-1, SUSE-SU-2016:1604-1, USN-2994-1, VIGILANCE-VUL-19786.

Description de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2016-4447 CVE-2016-4448 CVE-2016-4449

libxml2 : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de libxml2.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, Junos OS, Junos Space, libxml, McAfee Web Gateway, openSUSE Leap, Oracle Communications, RHEL, Slackware, Splunk Enterprise, SLES, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 25/05/2016.
Références : 1989337, 1991909, 1991910, 1991911, 1991913, 1991997, CERTFR-2017-AVI-012, cpujan2018, CVE-2016-4447, CVE-2016-4448, CVE-2016-4449, DLA-503-1, DSA-3593-1, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, HT206902, HT206903, JSA10770, JSA10916, K24322529, K41103561, openSUSE-SU-2016:1595-1, RHSA-2016:1292-01, SA129, SB10170, SOL41103561, SPL-119440, SPL-121159, SPL-123095, SSA:2016-148-01, SUSE-SU-2016:1538-1, SUSE-SU-2016:1604-1, TNS-2017-03, USN-2994-1, USN-3235-1, VIGILANCE-VUL-19694.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans libxml2.

Un attaquant peut forcer la lecture à une adresse invalide via xmlParseName, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:1/4; CVE-2016-4447]

Un attaquant peut provoquer une attaque par format, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-4448]

Un attaquant peut provoquer une corruption de mémoire via Entities Content, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-4449]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2016-4483

libxml2 : lecture de mémoire hors plage prévue via xmlBufAttrSerializeTxtContent

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide dans xmlBufAttrSerializeTxtContent() de libxml2, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, libxml, openSUSE, openSUSE Leap, Solaris, Splunk Enterprise, SLES, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Date création : 04/05/2016.
Références : 1989337, 1991909, 1991910, 1991911, 1991913, 1991997, bulletinjul2016, CVE-2016-4483, DLA-503-1, DSA-3593-1, HT206902, HT206903, openSUSE-SU-2016:1594-1, openSUSE-SU-2016:1595-1, SA129, SPL-119440, SPL-121159, SPL-123095, SUSE-SU-2016:1538-1, SUSE-SU-2016:1604-1, TNS-2017-03, USN-2994-1, VIGILANCE-VUL-19514.

Description de la vulnérabilité

L'outil xmllint de libxml2 possède l'option "--recover" pour essayer de décoder un document XML malformé.

Cependant, la fonction xmlBufAttrSerializeTxtContent() du fichier xmlsave.c cherche à lire une zone mémoire située hors de la plage prévue, ce qui provoque une erreur fatale, ou permet de lire un fragment de la mémoire du processus.

Un attaquant peut donc forcer la lecture à une adresse invalide dans xmlBufAttrSerializeTxtContent() de libxml2, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-3705

libxml2 : boucle infinie de xmlParserEntityCheck

Synthèse de la vulnérabilité

Un attaquant peut provoquer une récursion infinie dans xmlStringGetNodeList() de libxml2, afin de mener un déni de service.
Produits concernés : Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Junos OS, Junos Space, libxml, McAfee Web Gateway, openSUSE, openSUSE Leap, RHEL, Splunk Enterprise, SLES, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 03/05/2016.
Références : 765207, CERTFR-2017-AVI-012, CVE-2016-3705, DLA-503-1, DSA-3593-1, JSA10770, JSA10916, openSUSE-SU-2016:1446-1, openSUSE-SU-2016:1594-1, openSUSE-SU-2016:1595-1, RHSA-2016:1292-01, SA129, SB10170, SOL54225343, SPL-119440, SPL-121159, SPL-123095, SUSE-SU-2016:1538-1, SUSE-SU-2016:1604-1, TNS-2017-03, USN-2994-1, VIGILANCE-VUL-19513.

Description de la vulnérabilité

La bibliothèque libxml2 contient un analyseur XML.

Cependant, un document malformé provoque une récursion infinie dans les fonctions xmlParserEntityCheck(), xmlParseEntityValue() et xmlParseAttValueComplex(), qui épuise la pile.

Un attaquant peut donc provoquer une récursion infinie dans xmlStringGetNodeList() de libxml2, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2016-3627

libxml2 : boucle infinie de xmlStringGetNodeList

Synthèse de la vulnérabilité

Un attaquant peut provoquer une récursion infinie dans xmlStringGetNodeList() de libxml2, afin de mener un déni de service.
Produits concernés : Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Junos OS, Junos Space, libxml, McAfee Web Gateway, openSUSE, openSUSE Leap, Solaris, RHEL, Splunk Enterprise, Nessus, Ubuntu.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 21/03/2016.
Date révision : 03/05/2016.
Références : 1989337, 1991909, 1991910, 1991911, 1991913, 1991997, 762100, bulletinjul2016, CERTFR-2017-AVI-012, CVE-2016-3627, DLA-503-1, DSA-3593-1, JSA10770, JSA10916, openSUSE-SU-2016:1298-1, openSUSE-SU-2016:1446-1, openSUSE-SU-2016:1594-1, RHSA-2016:1292-01, SA129, SB10170, SOL54225343, SPL-119440, SPL-121159, SPL-123095, TNS-2017-03, USN-2994-1, VIGILANCE-VUL-19201.

Description de la vulnérabilité

L'outil xmllint de libxml2 possède l'option "--recover" pour essayer de décoder un document XML malformé.

Cependant, un document malformé provoque une récursion infinie dans la fonction xmlStringGetNodeList(), qui épuise la pile.

Un attaquant peut donc provoquer une récursion infinie dans xmlStringGetNodeList() de libxml2, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-1839

libxml2 : lecture de mémoire non accessible via xmlDictAddString

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un document XML malveillant, avec une application liée à libxml2, pour forcer la lecture à une adresse invalide dans la fonction xmlDictAddString(), afin de mener un déni de service.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, Android OS, Junos Space, libxml, McAfee Web Gateway, openSUSE, openSUSE Leap, RHEL, Splunk Enterprise, SLES, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 23/02/2016.
Références : CERTFR-2017-AVI-012, CVE-2016-1839, DLA-503-1, DSA-3593-1, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, HT206567, HT206568, JSA10770, K26422113, openSUSE-SU-2016:1594-1, openSUSE-SU-2016:1595-1, openSUSE-SU-2017:1510-1, RHSA-2016:1292-01, SA129, SB10170, SPL-119440, SPL-121159, SPL-123095, SUSE-SU-2016:1538-1, SUSE-SU-2016:1604-1, TNS-2017-03, USN-2994-1, VIGILANCE-VUL-19007.

Description de la vulnérabilité

La bibliothèque libxml2 contient un analyseur XML.

Cependant, des données XML malformées forcent la fonction xmlDictAddString() à lire une zone mémoire qui n'est pas accessible, ce qui provoque une erreur fatale.

Un attaquant peut donc inviter la victime à ouvrir un document XML malveillant, avec une application liée à libxml2, pour forcer la lecture à une adresse invalide dans la fonction xmlDictAddString(), afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-1833

libxml2 : lecture de mémoire non accessible via xmlNextChar

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un document XML malveillant, avec une application liée à libxml2, pour forcer la lecture à une adresse invalide dans la fonction xmlDictAddString(), afin de mener un déni de service.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, Fedora, Junos Space, NSM Central Manager, NSMXpress, libxml, McAfee Web Gateway, openSUSE, openSUSE Leap, Solaris, RHEL, Splunk Enterprise, SLES, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 23/02/2016.
Références : 758606, bulletinjul2016, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, CVE-2016-1833, DLA-503-1, DSA-3593-1, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, HT206567, HT206568, JSA10770, JSA10774, openSUSE-SU-2016:1594-1, openSUSE-SU-2016:1595-1, RHSA-2016:1292-01, SA129, SB10170, SPL-119440, SPL-121159, SPL-123095, SUSE-SU-2016:1538-1, SUSE-SU-2016:1604-1, TNS-2017-03, USN-2994-1, VIGILANCE-VUL-19006.

Description de la vulnérabilité

La bibliothèque libxml2 contient un analyseur XML.

Cependant, des données XML malformées forcent la fonction xmlNextChar() à lire une zone mémoire qui n'est pas accessible, ce qui provoque une erreur fatale.

Un attaquant peut donc inviter la victime à ouvrir un document XML malveillant, avec une application liée à libxml2, pour forcer la lecture à une adresse invalide dans la fonction xmlNextChar(), afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-1838

libxml2 : lecture de mémoire non accessible via xmlParseEndTag2

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un document XML malveillant, avec une application liée à libxml2, pour forcer la lecture à une adresse invalide dans la fonction xmlParseEndTag2(), afin de mener un déni de service.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, Junos Space, libxml, McAfee Web Gateway, openSUSE, openSUSE Leap, RHEL, Splunk Enterprise, SLES, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 23/02/2016.
Références : 758588, 758589, CERTFR-2017-AVI-012, CVE-2016-1838, DLA-503-1, DSA-3593-1, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, HT206567, HT206568, JSA10770, K71926235, openSUSE-SU-2016:1594-1, openSUSE-SU-2016:1595-1, RHSA-2016:1292-01, SA129, SB10170, SPL-119440, SPL-121159, SPL-123095, SUSE-SU-2016:1538-1, SUSE-SU-2016:1604-1, TNS-2017-03, USN-2994-1, VIGILANCE-VUL-19005.

Description de la vulnérabilité

La bibliothèque libxml2 contient un analyseur XML.

Cependant, un tag de fin situé après un nom long force la fonction xmlParseEndTag2() à lire une zone mémoire qui n'est pas accessible, ce qui provoque une erreur fatale.

Un attaquant peut donc inviter la victime à ouvrir un document XML malveillant, avec une application liée à libxml2, pour forcer la lecture à une adresse invalide dans la fonction xmlParseEndTag2(), afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.