| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier. |
|
 |
|
|
Vulnérabilités informatiques de DSM
OpenSSL : lecture de mémoire hors plage prévue via X.509 IPAddressFamily
Synthèse de la vulnérabilité
Produits concernés : Mac OS X, Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, AIX, WebSphere MQ, Juniper J-Series, Junos OS, NSM Central Manager, NSMXpress, SRX-Series, MariaDB ~ précis, McAfee Web Gateway, MySQL Community, MySQL Enterprise, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, Percona Server, XtraDB Cluster, pfSense, RHEL, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WindRiver Linux, X2GoClient.
Gravité : 1/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/08/2017.
Références : 2011879, 2013026, 2014367, bulletinapr2018, cpuapr2018, cpujan2018, cpujan2019, cpujul2018, cpuoct2018, CVE-2017-3735, DSA-4017-1, DSA-4018-1, FEDORA-2017-4cf72e2c11, FEDORA-2017-512a6c5aae, FEDORA-2017-55a3247cfd, FEDORA-2017-7f30914972, FEDORA-2017-dbec196dd8, FreeBSD-SA-17:11.openssl, HT208331, HT208394, ibm10715641, ibm10738249, JSA10851, K21462542, openSUSE-SU-2017:3192-1, openSUSE-SU-2018:0029-1, openSUSE-SU-2018:0315-1, RHSA-2018:3221-01, SA157, SB10211, SUSE-SU-2017:2968-1, SUSE-SU-2017:2981-1, SUSE-SU-2018:0112-1, TNS-2017-15, USN-3475-1, VIGILANCE-VUL-23636.
Description de la vulnérabilité
Un attaquant peut forcer la lecture à une adresse invalide via X.509 IPAddressFamily de OpenSSL, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit) |
Synology DSM : déni de service via SYNO.Core.PortForwarding.Rules
Synthèse de la vulnérabilité
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/08/2017.
Références : CVE-2017-12076, Synology-SA-17:48, VIGILANCE-VUL-23629.
Description de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via SYNO.Core.PortForwarding.Rules de Synology DSM, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit) |
Synology Photo Station : Cross Site Scripting via PixlrEditorHandler.php
Synthèse de la vulnérabilité
Un attaquant peut provoquer un Cross Site Scripting via PixlrEditorHandler.php de Synology Photo Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/08/2017.
Références : CVE-2017-9555, Synology-SA-17:47, VIGILANCE-VUL-23611.
Description de la vulnérabilité
Le produit Synology Photo Station dispose d'un service web.
Cependant, les données reçues via PixlrEditorHandler.php ne sont pas filtrées avant d'être insérées dans les documents HTML générés.
Un attaquant peut donc provoquer un Cross Site Scripting via PixlrEditorHandler.php de Synology Photo Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit) |
Synology DNS Server : création de fichier via domain_name
Synthèse de la vulnérabilité
Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/08/2017.
Références : CVE-2017-12074, Synology-SA-17:46, VIGILANCE-VUL-23601.
Description de la vulnérabilité
Un attaquant local peut créer un fichier via domain_name de Synology DNS Server, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit) |
GitLab : exécution de code via ssh
Synthèse de la vulnérabilité
Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/08/2017.
Références : CVE-2017-12426, Synology-SA-17:43, VIGILANCE-VUL-23600.
Description de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via ssh de GitLab, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit) |
Noyau Linux : corruption de mémoire via f2fs
Synthèse de la vulnérabilité
Produits concernés : Android OS, Linux, Synology DSM, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, déni de service du serveur, déni de service du service.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2017.
Références : CERTFR-2017-AVI-307, CERTFR-2017-AVI-384, CVE-2017-10663, USN-3420-1, USN-3420-2, USN-3468-1, USN-3468-2, USN-3468-3, USN-3470-1, USN-3470-2, VIGILANCE-VUL-23533.
Description de la vulnérabilité
Un attaquant peut provoquer une corruption de mémoire via f2fs du noyau Linux, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit) |
Git : exécution de code via ssh
Synthèse de la vulnérabilité
Produits concernés : Debian, Fedora, Kubernetes, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/08/2017.
Références : bulletinjul2017, CVE-2017-1000117, DLA-1068-1, DSA-3934-1, FEDORA-2017-8ba7572cfd, FEDORA-2017-b1b3ae6666, openSUSE-SU-2017:2182-1, openSUSE-SU-2017:2331-1, RHSA-2017:2484-01, RHSA-2017:2485-01, RHSA-2017:2491-01, SSA:2017-223-01, SUSE-SU-2017:2225-1, SUSE-SU-2017:2320-1, Synology-SA-17:41, USN-3387-1, VIGILANCE-VUL-23503.
Description de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via ssh de Git, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit) |
libsoup : buffer overflow via HTTP Request
Synthèse de la vulnérabilité
Produits concernés : Debian, Fedora, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/08/2017.
Références : bulletinjan2018, CVE-2017-2885, DSA-3929-1, FEDORA-2017-1f4c82d73e, FEDORA-2017-872a0a9a85, FEDORA-2017-b0ec173bd1, FEDORA-2017-c9d8011d69, openSUSE-SU-2017:2153-1, openSUSE-SU-2018:2296-1, RHSA-2017:2459-01, SSA:2017-223-02, SUSE-SU-2017:2129-1, SUSE-SU-2017:2130-1, SUSE-SU-2018:2204-1, SUSE-SU-2018:2204-2, Synology-SA-17:40, USN-3383-1, VIGILANCE-VUL-23497.
Description de la vulnérabilité
Un attaquant peut provoquer un buffer overflow via HTTP Request de libsoup, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit) |
Synology Video Station : Cross Site Scripting
Synthèse de la vulnérabilité
Un attaquant peut provoquer un Cross Site Scripting de Synology Video Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/08/2017.
Références : CVE-2017-9556, Synology-SA-17:39, VIGILANCE-VUL-23495.
Description de la vulnérabilité
Le produit Synology Video Station dispose d'un service web.
Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.
Un attaquant peut donc provoquer un Cross Site Scripting de Synology Video Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit) |
Synology Chat : obtention d'information via SSRF
Synthèse de la vulnérabilité
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/08/2017.
Références : CVE-2017-11148, Synology-SA-17:38, VIGILANCE-VUL-23494.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via SSRF de Synology Chat, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit) |
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.
Consulter les informations sur DSM :
|