Vulnérabilités informatiques de Debian Jessie

annonce de vulnérabilité informatique CVE-2015-7973 CVE-2015-7974 CVE-2015-7975

NTP.org : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de NTP.org.
Produits concernés : SNS, Blue Coat CAS, FabricOS, Brocade Network Advisor, Brocade vTM, Cisco ASR, Cisco ACE, ASA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Cisco PRSM, Cisco Router, Secure ACS, Cisco CUCM, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP Switch, AIX, Juniper J-Series, Junos OS, Junos Space, Meinberg NTP Server, NTP.org, openSUSE, openSUSE Leap, Palo Alto Firewall PA***, PAN-OS, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Date création : 21/01/2016.
Références : BSA-2016-005, BSA-2016-006, CERTFR-2016-AVI-045, cisco-sa-20160127-ntpd, CVE-2015-7973, CVE-2015-7974, CVE-2015-7975, CVE-2015-7976, CVE-2015-7977, CVE-2015-7978, CVE-2015-7979, CVE-2015-8138, CVE-2015-8139, CVE-2015-8140, CVE-2015-8158, DLA-559-1, DSA-3629-1, FEDORA-2016-34bc10a2c8, FEDORA-2016-89e0874533, FEDORA-2016-8bb1932088, FEDORA-2016-c3bd6a3496, FreeBSD-SA-16:09.ntp, HPESBHF03750, JSA10776, JSA10796, K00329831, K01324833, K06288381, openSUSE-SU-2016:1292-1, openSUSE-SU-2016:1329-1, openSUSE-SU-2016:1423-1, PAN-SA-2016-0019, RHSA-2016:0063-01, RHSA-2016:0780-01, RHSA-2016:1552-01, RHSA-2016:2583-02, SA113, SOL00329831, SOL01324833, SOL05046514, SOL06288381, SOL13304944, SOL21230183, SOL32790144, SOL71245322, SOL74363721, SSA:2016-054-04, STORM-2016-003, STORM-2016-004, SUSE-SU-2016:1175-1, SUSE-SU-2016:1177-1, SUSE-SU-2016:1247-1, SUSE-SU-2016:1278-1, SUSE-SU-2016:1291-1, SUSE-SU-2016:1311-1, SUSE-SU-2016:1471-1, SUSE-SU-2016:1912-1, SUSE-SU-2016:2094-1, USN-3096-1, VIGILANCE-VUL-18787.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans NTP.org.

Un attaquant peut provoquer une boucle infinie dans ntpq, afin de mener un déni de service. [grav:2/4; CVE-2015-8158]

La valeur Zero Origin Timestamp n'est pas correctement vérifiée. [grav:2/4; CVE-2015-8138]

Un attaquant peut provoquer une erreur fatale dans Authenticated Broadcast Mode, afin de mener un déni de service. [grav:2/4; CVE-2015-7979]

Un attaquant peut provoquer une erreur fatale dans Recursive Traversal, afin de mener un déni de service. [grav:2/4; CVE-2015-7978]

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans reslist, afin de mener un déni de service. [grav:2/4; CVE-2015-7977]

Un attaquant peut utiliser un nom de fichier contenant des caractères spéciaux dans la commande "ntpq saveconfig". [grav:2/4; CVE-2015-7976]

Un attaquant peut provoquer un buffer overflow dans nextvar(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2015-7975]

Un attaquant peut contourner les mesures de sécurité dans Skeleton Key, afin d'élever ses privilèges. [grav:2/4; CVE-2015-7974]

Un attaquant peut utiliser une attaque de type rejeu contre Deja Vu. [grav:2/4; CVE-2015-7973]

Un attaquant peut utiliser une attaque de type rejeu contre ntpq. [grav:2/4; CVE-2015-8140]

Un attaquant peut contourner les mesures de sécurité dans ntpq et ntpdc, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-8139]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2016-1612 CVE-2016-1613 CVE-2016-1614

Google Chrome : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Date création : 21/01/2016.
Références : CVE-2016-1612, CVE-2016-1613, CVE-2016-1614, CVE-2016-1615, CVE-2016-1616, CVE-2016-1617, CVE-2016-1618, CVE-2016-1619, CVE-2016-1620, CVE-2016-2051, CVE-2016-2052, DSA-3456-1, openSUSE-SU-2016:0249-1, openSUSE-SU-2016:0250-1, openSUSE-SU-2016:0271-1, RHSA-2016:0072-01, USN-2877-1, VIGILANCE-VUL-18785.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut provoquer une corruption de mémoire dans V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1612]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans PDFium, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1613]

Un attaquant peut contourner les mesures de sécurité dans Blink, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1614]

Un attaquant peut contourner les mesures de sécurité dans Omnibox, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1615]

Un attaquant peut usurper une url, afin de tromper la victime. [grav:2/4; CVE-2016-1616]

Un attaquant peut utiliser HSTS et CSP, afin d'obtenir des informations sensibles de l'historique. [grav:2/4; CVE-2016-1617]

Un attaquant peut prédire les aléas dans Blink. [grav:2/4; CVE-2016-1618]

Un attaquant peut forcer la lecture à une adresse invalide dans PDFium, afin de mener un déni de service. [grav:2/4; CVE-2016-1619]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1620]

Un attaquant peut provoquer une corruption de mémoire dans V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-2051]

Un attaquant peut provoquer une corruption de mémoire dans HarfBuzz, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-20398). [grav:3/4; CVE-2016-2052]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-1570

Xen : corruption de mémoire via PV Superpage

Synthèse de la vulnérabilité

Un attaquant dans un système invité peut provoquer une corruption de mémoire dans la fonctionnalité PV Superpage de Xen, afin de mener un déni de service, et éventuellement d'exécuter du code sur le système hôte.
Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Xen.
Gravité : 2/4.
Date création : 20/01/2016.
Références : CVE-2016-1570, DLA-479-1, DSA-3519-1, FEDORA-2016-2c15b72b01, FEDORA-2016-e1784417af, openSUSE-SU-2016:0914-1, openSUSE-SU-2016:0995-1, SUSE-SU-2016:0873-1, SUSE-SU-2016:0955-1, SUSE-SU-2016:1154-1, SUSE-SU-2016:1318-1, SUSE-SU-2016:1745-1, VIGILANCE-VUL-18773, XSA-167.

Description de la vulnérabilité

Le produit Xen propose la fonctionnalité PV Superpage, qui est désactivée par défaut.

Cependant, les paramètres de l'hypercall HYPERVISOR_mmuext_op (sous-opération MMUEXT_MARK_SUPER et MMUEXT_UNMARK_SUPER) ne sont pas validés.

Un attaquant dans un système invité peut donc provoquer une corruption de mémoire dans la fonctionnalité PV Superpage de Xen, afin de mener un déni de service, et éventuellement d'exécuter du code sur le système hôte.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2016-1571

Xen : déni de service via VMX INVLPG

Synthèse de la vulnérabilité

Un attaquant dans un système invité peut utiliser INVLPG/INVVPID sur Xen, afin de mener un déni de service dans le système hôte.
Produits concernés : Debian, Fedora, openSUSE, SUSE Linux Enterprise Desktop, SLES, Xen.
Gravité : 1/4.
Date création : 20/01/2016.
Références : CVE-2016-1571, DLA-479-1, DSA-3519-1, FEDORA-2016-2c15b72b01, FEDORA-2016-e1784417af, openSUSE-SU-2016:0995-1, SUSE-SU-2016:0873-1, SUSE-SU-2016:0955-1, SUSE-SU-2016:1154-1, SUSE-SU-2016:1318-1, SUSE-SU-2016:1745-1, VIGILANCE-VUL-18772, XSA-168.

Description de la vulnérabilité

Le produit Xen peut être installé en mode HVM avec Shadow Mode Paging, sur un processeur Intel/Cyrix.

Cependant, dans cette configuration, l'usage de INVVPID avec une adresse non canonique provoque une erreur fatale dans paging_invlpg().

Un attaquant dans un système invité peut donc utiliser INVLPG/INVVPID sur Xen, afin de mener un déni de service dans le système hôte.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2015-8747 CVE-2015-8748

Radicale : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Radicale.
Produits concernés : Debian, Fedora.
Gravité : 2/4.
Date création : 20/01/2016.
Références : CVE-2015-8747, CVE-2015-8748, DSA-3462-1, FEDORA-2016-cf9e2429b5, FEDORA-2016-f048c43393, VIGILANCE-VUL-18769.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Radicale.

Un attaquant peut contourner les mesures de sécurité dans le Multifilesystem Backend, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-8747]

Un attaquant peut contourner les mesures de sécurité via une Regex Injection, afin d'élever ses privilèges. [grav:2/4; CVE-2015-8748]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2016-1981

QEMU : boucle infinie de e1000

Synthèse de la vulnérabilité

Un attaquant dans un système invité peut provoquer une boucle infinie dans l'implémentation e1000 de QEMU, afin de mener un déni de service sur le système hôte.
Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap, QEMU, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Date création : 20/01/2016.
Références : CVE-2016-1981, DSA-3471-1, FEDORA-2016-38b20aa50f, FEDORA-2016-b49aaf2c56, FEDORA-2016-be042f7e6f, FEDORA-2016-f4504e9445, openSUSE-SU-2016:0914-1, openSUSE-SU-2016:0995-1, openSUSE-SU-2016:1750-1, openSUSE-SU-2016:2494-1, RHSA-2016:2585-02, SUSE-SU-2016:0873-1, SUSE-SU-2016:0955-1, SUSE-SU-2016:1154-1, SUSE-SU-2016:1318-1, SUSE-SU-2016:1560-1, SUSE-SU-2016:1698-1, SUSE-SU-2016:1703-1, SUSE-SU-2016:1745-1, SUSE-SU-2016:1785-1, USN-2891-1, VIGILANCE-VUL-18768.

Description de la vulnérabilité

Le produit QEMU implémente le support des cartes réseau e1000.

Cependant, en utilisant des valeurs TDH/RDH invalides, une boucle infinie se produit dans le fichier hw/net/e1000.c.

Un attaquant dans un système invité peut donc provoquer une boucle infinie dans l'implémentation e1000 de QEMU, afin de mener un déni de service sur le système hôte.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2015-8704

ISC BIND : erreur d'assertion via APL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion en envoyant des données APL vers certaines configurations de ISC BIND, afin de mener un déni de service.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, BIND, McAfee Email Gateway, openSUSE, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Date création : 20/01/2016.
Références : AA-01335, bulletinjan2016, bulletinoct2016, c05019901, CVE-2015-8704, DSA-3449-1, FEDORA-2016-1323b9078a, FEDORA-2016-1ab53bf440, FEDORA-2016-f3517b9c4c, FEDORA-2016-feb8d77f36, FreeBSD-SA-16:08.bind, HPSBUX03552, openSUSE-SU-2016:0197-1, openSUSE-SU-2016:0199-1, openSUSE-SU-2016:0204-1, RHSA-2016:0073-01, RHSA-2016:0074-01, SB10214, SOL53445000, SSA:2016-054-01, SSRT102983, SUSE-SU-2016:0174-1, SUSE-SU-2016:0180-1, SUSE-SU-2016:0200-1, SUSE-SU-2016:0227-1, USN-2874-1, VIGILANCE-VUL-18766.

Description de la vulnérabilité

Le produit ISC BIND utilise la structure APL pour stocker les enregistrements "rdata".

Ces données APL sont employées par :
- les secondaires durant un transfert de zone depuis le primaire (et utilisant un fichier "text-format db").
- les primaires durant la réception d'un message DDNS Update (et utilisant un fichier "text-format db").
- les serveurs récursifs avec une journalisation de debug.
- les serveurs ayant mis en cache un enregistrement, avant un "rndc dumpdb".

Cependant, lorsque les données APL sont trop longues, une erreur d'assertion se produit car les développeurs ne s'attendaient pas à ce cas, ce qui stoppe le processus.

Un attaquant peut donc provoquer une erreur d'assertion en envoyant des données APL vers certaines configurations de ISC BIND, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2015-7744 CVE-2016-0502 CVE-2016-0503

MySQL : multiples vulnérabilités de janvier 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de MySQL.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, MariaDB ~ précis, MySQL Community, MySQL Enterprise, openSUSE, openSUSE Leap, Solaris, Percona Server, XtraDB Cluster, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Date création : 20/01/2016.
Références : bulletinapr2016, CERTFR-2016-AVI-030, cpujan2016, CVE-2015-7744, CVE-2016-0502, CVE-2016-0503, CVE-2016-0504, CVE-2016-0505, CVE-2016-0546, CVE-2016-0594, CVE-2016-0595, CVE-2016-0596, CVE-2016-0597, CVE-2016-0598, CVE-2016-0599, CVE-2016-0600, CVE-2016-0601, CVE-2016-0605, CVE-2016-0606, CVE-2016-0607, CVE-2016-0608, CVE-2016-0609, CVE-2016-0610, CVE-2016-0611, CVE-2016-0616, DSA-3453-1, DSA-3459-1, FEDORA-2016-5cb344dd7e, FEDORA-2016-65a1f22818, FEDORA-2016-868c170507, FEDORA-2016-e30164d0a2, K77508618, openSUSE-SU-2016:0367-1, openSUSE-SU-2016:0377-1, openSUSE-SU-2016:1664-1, openSUSE-SU-2016:1686-1, RHSA-2016:0534-01, RHSA-2016:0705-01, RHSA-2016:1132-01, RHSA-2016:1480-01, RHSA-2016:1481-01, SUSE-SU-2016:1619-1, SUSE-SU-2016:1620-1, USN-2881-1, VIGILANCE-VUL-18764.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans MySQL.

Un attaquant peut employer une vulnérabilité de Client, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2016-0546]

Un attaquant peut employer une vulnérabilité de Server: DML, afin de mener un déni de service. [grav:2/4; CVE-2016-0504]

Un attaquant peut employer une vulnérabilité de Server: Options, afin de mener un déni de service. [grav:2/4; CVE-2016-0505]

Un attaquant peut employer une vulnérabilité de Server: DML, afin de mener un déni de service. [grav:2/4; CVE-2016-0594]

Un attaquant peut employer une vulnérabilité de Server: DML, afin de mener un déni de service. [grav:2/4; CVE-2016-0595]

Un attaquant peut employer une vulnérabilité de Server: DML, afin de mener un déni de service. [grav:2/4; CVE-2016-0503]

Un attaquant peut employer une vulnérabilité de Server: DML, afin de mener un déni de service. [grav:2/4; CVE-2016-0596]

Un attaquant peut employer une vulnérabilité de Server: Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2016-0502]

Un attaquant peut employer une vulnérabilité de Server: Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2016-0597]

Un attaquant peut employer une vulnérabilité de Server: Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2016-0611]

Un attaquant peut employer une vulnérabilité de Server: Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2016-0616]

Un attaquant peut employer une vulnérabilité de Server: DML, afin de mener un déni de service. [grav:2/4; CVE-2016-0598]

Un attaquant peut employer une vulnérabilité de Server: InnoDB, afin de mener un déni de service. [grav:2/4; CVE-2016-0600]

Un attaquant peut employer une vulnérabilité de Server: InnoDB, afin de mener un déni de service. [grav:2/4; CVE-2016-0610]

Un attaquant peut employer une vulnérabilité de Server: Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2016-0599]

Un attaquant peut employer une vulnérabilité de Server: Partition, afin de mener un déni de service. [grav:2/4; CVE-2016-0601]

Un attaquant peut employer une vulnérabilité de Server: Security: Encryption, afin d'altérer des informations. [grav:2/4; CVE-2016-0606]

Un attaquant peut employer une vulnérabilité de Server: UDF, afin de mener un déni de service. [grav:2/4; CVE-2016-0608]

Un attaquant peut employer une vulnérabilité de Server: Replication, afin de mener un déni de service. [grav:1/4; CVE-2016-0607]

Un attaquant peut employer une vulnérabilité de Server: Security: Encryption, afin d'obtenir des informations. [grav:1/4; CVE-2015-7744]

Un attaquant peut employer une vulnérabilité de Server: General, afin de mener un déni de service. [grav:1/4; CVE-2016-0605]

Un attaquant peut employer une vulnérabilité de Server: Security: Privileges, afin de mener un déni de service. [grav:1/4; CVE-2016-0609]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2015-7575 CVE-2015-8126 CVE-2016-0402

Oracle Java : multiples vulnérabilités de janvier 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Brocade Network Advisor, Brocade vTM, Debian, Avamar, BIG-IP Hardware, TMOS, Fedora, AIX, SPSS Modeler, Tivoli System Automation, WebSphere AS Traditional, WebSphere MQ, JAXP, Domino, Notes, ePO, SnapManager, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu.
Gravité : 3/4.
Date création : 20/01/2016.
Références : 1975365, 1975424, 1976200, 1976262, 1976896, 1977127, 1977129, 1977405, 1977518, 479387, 7043086, 9010057, BSA-2016-004, CERTFR-2015-AVI-488, CERTFR-2016-AVI-027, cpujan2016, CVE-2015-7575, CVE-2015-8126, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0475, CVE-2016-0483, CVE-2016-0494, DSA-3458-1, DSA-3465-1, ESA-2016-003, FEDORA-2016-3ea667977a, FEDORA-2016-946b98126d, NTAP-20160121-0001, openSUSE-SU-2016:0263-1, openSUSE-SU-2016:0268-1, openSUSE-SU-2016:0270-1, openSUSE-SU-2016:0272-1, openSUSE-SU-2016:0279-1, RHSA-2016:0049-01, RHSA-2016:0050-01, RHSA-2016:0053-01, RHSA-2016:0054-01, RHSA-2016:0055-01, RHSA-2016:0056-01, RHSA-2016:0057-01, RHSA-2016:0067-01, RHSA-2016:0098-01, RHSA-2016:0099-01, RHSA-2016:0100-01, RHSA-2016:0101-01, SB10148, SLOTH, SOL50118123, SUSE-SU-2016:0256-1, SUSE-SU-2016:0265-1, SUSE-SU-2016:0269-1, SUSE-SU-2016:0390-1, SUSE-SU-2016:0399-1, SUSE-SU-2016:0401-1, SUSE-SU-2016:0428-1, SUSE-SU-2016:0431-1, SUSE-SU-2016:0433-1, SUSE-SU-2016:0636-1, SUSE-SU-2016:0770-1, SUSE-SU-2016:0776-1, USN-2884-1, USN-2885-1, VIGILANCE-VUL-18761, ZDI-16-032.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-21215). [grav:3/4; CVE-2016-0494]

Un attaquant peut employer une vulnérabilité de AWT libpng, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-18301). [grav:3/4; CERTFR-2015-AVI-488, CVE-2015-8126]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-0483, ZDI-16-032]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-0475]

Un attaquant peut employer une vulnérabilité de Networking, afin d'altérer des informations. [grav:2/4; CVE-2016-0402]

Un attaquant peut employer une vulnérabilité de JAXP, afin de mener un déni de service. [grav:2/4; CVE-2016-0466]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations. [grav:2/4; CVE-2016-0448]

Un attaquant peut créer une collision MD5 dans une session TLS 1.2, afin d'intercepter les données de la session (VIGILANCE-VUL-18586). [grav:2/4; CVE-2015-7575, SLOTH]

Un attaquant peut provoquer un buffer overflow dans HtmlConverter, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2013-4312

Noyau Linux : déni de service via Limites

Synthèse de la vulnérabilité

Un attaquant local peut contourner les limites du noyau Linux, afin de mener un déni de service.
Produits concernés : Debian, Fedora, NSM Central Manager, NSMXpress, Linux, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Date création : 19/01/2016.
Références : CERTFR-2016-AVI-069, CERTFR-2016-AVI-082, CERTFR-2016-AVI-099, CERTFR-2016-AVI-159, CERTFR-2017-AVI-034, CVE-2013-4312, DSA-3448-1, DSA-3503-1, FEDORA-2016-2f25d12c51, FEDORA-2016-5d43766e33, JSA10853, RHSA-2016:0855-01, RHSA-2016:2574-02, RHSA-2016:2584-02, SUSE-SU-2016:2245-1, SUSE-SU-2016:2976-1, SUSE-SU-2016:3069-1, SUSE-SU-2017:0333-1, USN-2908-1, USN-2908-2, USN-2908-3, USN-2908-4, USN-2908-5, USN-2929-1, USN-2929-2, USN-2931-1, USN-2932-1, USN-2967-1, USN-2967-2, VIGILANCE-VUL-18752.

Description de la vulnérabilité

Des limites en ressources peuvent être définies pour chaque processus.

Cependant, un attaquant local peut contourner ces limites.

Un attaquant local peut donc contourner les limites du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Debian Jessie :

https://www.debian.org/