| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier. |
|
 |
|
|
Vulnérabilités informatiques de DSM
Noyau Linux : élévation de privilèges via DB Exceptions
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions via DB Exceptions du noyau Linux, afin d'élever ses privilèges.
Produits concernés : Debian, BIG-IP Hardware, TMOS, FreeBSD, QRadar SIEM, Linux, pfSense, RHEL, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 09/05/2018.
Références : CERTFR-2018-AVI-224, CERTFR-2018-AVI-226, CERTFR-2018-AVI-228, CERTFR-2018-AVI-232, CERTFR-2018-AVI-584, CVE-2018-8897, DLA-1392-1, DSA-4196-1, FreeBSD-SA-18:06.debugreg, ibm10742755, K17403481, RHSA-2018:1318-01, RHSA-2018:1319-01, RHSA-2018:1345-01, RHSA-2018:1346-01, RHSA-2018:1347-01, RHSA-2018:1348-01, RHSA-2018:1349-01, RHSA-2018:1350-01, RHSA-2018:1351-01, RHSA-2018:1352-01, RHSA-2018:1353-01, RHSA-2018:1354-01, RHSA-2018:1355-01, SUSE-SU-2018:1171-1, SUSE-SU-2018:1172-1, SUSE-SU-2018:1173-1, SUSE-SU-2018:1220-1, SUSE-SU-2018:1221-1, Synology-SA-18:51, USN-3641-1, USN-3641-2, VIGILANCE-VUL-26071, VU#631579.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions via DB Exceptions du noyau Linux, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit) |
Xen : élévation de privilèges via Debug Exceptions
Synthèse de la vulnérabilité
Un attaquant, dans un système invité, peut contourner les restrictions via Debug Exceptions de Xen, afin d'élever ses privilèges sur le système hôte.
Produits concernés : XenServer, Debian, Fedora, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Xen.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 09/05/2018.
Références : CERTFR-2018-AVI-225, CERTFR-2018-AVI-229, CTX234679, CVE-2018-8897, DLA-1383-1, DLA-1577-1, DSA-4201-1, FEDORA-2018-7cd077ddd3, FEDORA-2018-98684f429b, FEDORA-2018-a7ac26523d, openSUSE-SU-2018:1274-1, SUSE-SU-2018:1177-1, SUSE-SU-2018:1181-1, SUSE-SU-2018:1184-1, SUSE-SU-2018:1202-1, SUSE-SU-2018:1203-1, SUSE-SU-2018:1216-1, VIGILANCE-VUL-26063, XSA-260.
Description de la vulnérabilité
Un attaquant, dans un système invité, peut contourner les restrictions via Debug Exceptions de Xen, afin d'élever ses privilèges sur le système hôte.
Bulletin Vigil@nce complet... (Essai gratuit) |
Noyau Linux : élévation de privilèges via Ptrace Hardware Breakpoint Settings
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions via Ptrace Hardware Breakpoint Settings du noyau Linux, afin d'élever ses privilèges.
Produits concernés : Debian, Android OS, QRadar SIEM, Linux, openSUSE Leap, RHEL, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 02/05/2018.
Références : CERTFR-2018-AVI-226, CERTFR-2018-AVI-228, CERTFR-2018-AVI-256, CERTFR-2018-AVI-308, CERTFR-2018-AVI-319, CERTFR-2018-AVI-584, CVE-2018-1000199, DLA-1369-1, DSA-4187-1, DSA-4188-1, ibm10742755, openSUSE-SU-2018:1418-1, RHSA-2018:1318-01, RHSA-2018:1345-01, RHSA-2018:1347-01, RHSA-2018:1348-01, RHSA-2018:1354-01, RHSA-2018:1355-01, RHSA-2018:1374-01, SUSE-SU-2018:1366-1, SUSE-SU-2018:1368-1, SUSE-SU-2018:1374-1, SUSE-SU-2018:1375-1, SUSE-SU-2018:1376-1, SUSE-SU-2018:1816-1, SUSE-SU-2018:1846-1, SUSE-SU-2018:1855-1, Synology-SA-18:51, USN-3641-1, USN-3641-2, VIGILANCE-VUL-25999.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions via Ptrace Hardware Breakpoint Settings du noyau Linux, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : obtention d'information via RSA Constant Time Key Generation
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via RSA Constant Time Key Generation de OpenSSL, afin d'obtenir des informations sensibles.
Produits concernés : Debian, AIX, BladeCenter, IBM i, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Nodejs Core, OpenBSD, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, VirtualBox, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, X2GoClient.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 17/04/2018.
Références : bulletinjul2018, CERTFR-2018-AVI-511, CERTFR-2018-AVI-607, cpuapr2019, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-0737, DLA-1449-1, DSA-4348-1, DSA-4355-1, ibm10729805, ibm10743283, ibm10880781, JSA10919, openSUSE-SU-2018:2695-1, openSUSE-SU-2018:2957-1, openSUSE-SU-2018:3015-1, openSUSE-SU-2019:0152-1, openSUSE-SU-2019:1432-1, PAN-SA-2018-0015, RHSA-2018:3221-01, SSA:2018-226-01, SUSE-SU-2018:2486-1, SUSE-SU-2018:2492-1, SUSE-SU-2018:2683-1, SUSE-SU-2018:2928-1, SUSE-SU-2018:2965-1, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2019:0197-1, SUSE-SU-2019:0512-1, SUSE-SU-2019:1553-1, TNS-2018-14, TNS-2018-17, TSB17568, USN-3628-1, USN-3628-2, USN-3692-1, USN-3692-2, VIGILANCE-VUL-25884.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via RSA Constant Time Key Generation de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Synology Calendar : élévation de privilèges
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions de Synology Calendar, afin d'élever ses privilèges.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : document.
Date création : 29/03/2018.
Références : Synology-SA-18:16, VIGILANCE-VUL-25720.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions de Synology Calendar, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit) |
Synology Photo Station : multiples vulnérabilités
Synthèse de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de Synology Photo Station.
Produits concernés : Synology DSM.
Gravité : 3/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 29/03/2018.
Références : CVE-2018-8925, CVE-2018-8926, Synology-SA-18:15, VIGILANCE-VUL-25719.
Description de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de Synology Photo Station.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : déni de service via Recursive ASN.1
Synthèse de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Recursive ASN.1 de OpenSSL, afin de mener un déni de service.
Produits concernés : Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, Avamar, BIG-IP Hardware, TMOS, Fedora, AIX, IBM i, Rational ClearCase, QRadar SIEM, Tivoli Storage Manager, WebSphere MQ, MariaDB ~ précis, McAfee Email Gateway, MySQL Community, MySQL Enterprise, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, RHEL, stunnel, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Synology DSM, Synology DS***, Synology RS***, Ubuntu, X2GoClient.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 27/03/2018.
Références : 2015887, 524146, bulletinjan2019, CERTFR-2018-AVI-155, cpuapr2019, cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-0739, DLA-1330-1, DSA-2018-125, DSA-4157-1, DSA-4158-1, FEDORA-2018-1b4f1158e2, FEDORA-2018-40dc8b8b16, FEDORA-2018-76afaf1961, FEDORA-2018-9490b422e7, ibm10715641, ibm10717211, ibm10717405, ibm10717409, ibm10719319, ibm10733605, ibm10738249, ibm10874728, K08044291, N1022561, openSUSE-SU-2018:0936-1, openSUSE-SU-2018:1057-1, openSUSE-SU-2018:2208-1, openSUSE-SU-2018:2238-1, openSUSE-SU-2018:2524-1, openSUSE-SU-2018:2695-1, PAN-SA-2018-0015, RHSA-2018:3090-01, RHSA-2018:3221-01, SA166, SB10243, SSA-181018, SUSE-SU-2018:0902-1, SUSE-SU-2018:0905-1, SUSE-SU-2018:0906-1, SUSE-SU-2018:0975-1, SUSE-SU-2018:2072-1, SUSE-SU-2018:2158-1, SUSE-SU-2018:2683-1, Synology-SA-18:51, USN-3611-1, USN-3611-2, VIGILANCE-VUL-25666.
Description de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Recursive ASN.1 de OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
Synology DSM : Cross Site Scripting
Synthèse de la vulnérabilité
Un attaquant peut provoquer un Cross Site Scripting de Synology DSM, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 27/03/2018.
Références : CVE-2018-8917, CVE-2018-8919, CVE-2018-8920, Synology-SA-18:14, VIGILANCE-VUL-25664.
Description de la vulnérabilité
Le produit Synology DSM dispose d'un service web.
Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.
Un attaquant peut donc provoquer un Cross Site Scripting de Synology DSM, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit) |
Synology Office : Cross Site Scripting
Synthèse de la vulnérabilité
Un attaquant peut provoquer un Cross Site Scripting de Synology Office, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 26/03/2018.
Références : CVE-2018-8924, Synology-SA-18:12, VIGILANCE-VUL-25652.
Description de la vulnérabilité
Le produit Synology Office dispose d'un service web.
Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.
Un attaquant peut donc provoquer un Cross Site Scripting de Synology Office, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit) |
Synology Drive : multiples vulnérabilités
Synthèse de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de Synology Drive.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 21/03/2018.
Références : CVE-2018-8921, CVE-2018-8922, Synology-SA-18:11, VIGILANCE-VUL-25614.
Description de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de Synology Drive.
Bulletin Vigil@nce complet... (Essai gratuit) |
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.
Consulter les informations sur DSM :
|