L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de DSM

alerte de vulnérabilité informatique CVE-2017-3735

OpenSSL : lecture de mémoire hors plage prévue via X.509 IPAddressFamily

Synthèse de la vulnérabilité

Produits concernés : Mac OS X, Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, AIX, WebSphere MQ, Juniper J-Series, Junos OS, NSM Central Manager, NSMXpress, SRX-Series, MariaDB ~ précis, McAfee Web Gateway, MySQL Community, MySQL Enterprise, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, Percona Server, XtraDB Cluster, pfSense, RHEL, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WindRiver Linux, X2GoClient.
Gravité : 1/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/08/2017.
Références : 2011879, 2013026, 2014367, bulletinapr2018, cpuapr2018, cpujan2018, cpujan2019, cpujul2018, cpuoct2018, CVE-2017-3735, DSA-4017-1, DSA-4018-1, FEDORA-2017-4cf72e2c11, FEDORA-2017-512a6c5aae, FEDORA-2017-55a3247cfd, FEDORA-2017-7f30914972, FEDORA-2017-dbec196dd8, FreeBSD-SA-17:11.openssl, HT208331, HT208394, ibm10715641, ibm10738249, JSA10851, K21462542, openSUSE-SU-2017:3192-1, openSUSE-SU-2018:0029-1, openSUSE-SU-2018:0315-1, RHSA-2018:3221-01, SA157, SB10211, SUSE-SU-2017:2968-1, SUSE-SU-2017:2981-1, SUSE-SU-2018:0112-1, TNS-2017-15, USN-3475-1, VIGILANCE-VUL-23636.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via X.509 IPAddressFamily de OpenSSL, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-12076

Synology DSM : déni de service via SYNO.Core.PortForwarding.Rules

Synthèse de la vulnérabilité

Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/08/2017.
Références : CVE-2017-12076, Synology-SA-17:48, VIGILANCE-VUL-23629.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via SYNO.Core.PortForwarding.Rules de Synology DSM, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2017-9555

Synology Photo Station : Cross Site Scripting via PixlrEditorHandler.php

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via PixlrEditorHandler.php de Synology Photo Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/08/2017.
Références : CVE-2017-9555, Synology-SA-17:47, VIGILANCE-VUL-23611.

Description de la vulnérabilité

Le produit Synology Photo Station dispose d'un service web.

Cependant, les données reçues via PixlrEditorHandler.php ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via PixlrEditorHandler.php de Synology Photo Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2017-12074

Synology DNS Server : création de fichier via domain_name

Synthèse de la vulnérabilité

Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/08/2017.
Références : CVE-2017-12074, Synology-SA-17:46, VIGILANCE-VUL-23601.

Description de la vulnérabilité

Un attaquant local peut créer un fichier via domain_name de Synology DNS Server, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2017-12426

GitLab : exécution de code via ssh

Synthèse de la vulnérabilité

Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/08/2017.
Références : CVE-2017-12426, Synology-SA-17:43, VIGILANCE-VUL-23600.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via ssh de GitLab, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-10663

Noyau Linux : corruption de mémoire via f2fs

Synthèse de la vulnérabilité

Produits concernés : Android OS, Linux, Synology DSM, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, déni de service du serveur, déni de service du service.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2017.
Références : CERTFR-2017-AVI-307, CERTFR-2017-AVI-384, CVE-2017-10663, USN-3420-1, USN-3420-2, USN-3468-1, USN-3468-2, USN-3468-3, USN-3470-1, USN-3470-2, VIGILANCE-VUL-23533.

Description de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire via f2fs du noyau Linux, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-1000117

Git : exécution de code via ssh

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, Kubernetes, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/08/2017.
Références : bulletinjul2017, CVE-2017-1000117, DLA-1068-1, DSA-3934-1, FEDORA-2017-8ba7572cfd, FEDORA-2017-b1b3ae6666, openSUSE-SU-2017:2182-1, openSUSE-SU-2017:2331-1, RHSA-2017:2484-01, RHSA-2017:2485-01, RHSA-2017:2491-01, SSA:2017-223-01, SUSE-SU-2017:2225-1, SUSE-SU-2017:2320-1, Synology-SA-17:41, USN-3387-1, VIGILANCE-VUL-23503.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via ssh de Git, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-2885

libsoup : buffer overflow via HTTP Request

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/08/2017.
Références : bulletinjan2018, CVE-2017-2885, DSA-3929-1, FEDORA-2017-1f4c82d73e, FEDORA-2017-872a0a9a85, FEDORA-2017-b0ec173bd1, FEDORA-2017-c9d8011d69, openSUSE-SU-2017:2153-1, openSUSE-SU-2018:2296-1, RHSA-2017:2459-01, SSA:2017-223-02, SUSE-SU-2017:2129-1, SUSE-SU-2017:2130-1, SUSE-SU-2018:2204-1, SUSE-SU-2018:2204-2, Synology-SA-17:40, USN-3383-1, VIGILANCE-VUL-23497.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via HTTP Request de libsoup, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-9556

Synology Video Station : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Video Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/08/2017.
Références : CVE-2017-9556, Synology-SA-17:39, VIGILANCE-VUL-23495.

Description de la vulnérabilité

Le produit Synology Video Station dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Video Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2017-11148

Synology Chat : obtention d'information via SSRF

Synthèse de la vulnérabilité

Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/08/2017.
Références : CVE-2017-11148, Synology-SA-17:38, VIGILANCE-VUL-23494.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via SSRF de Synology Chat, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur DSM :