L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de DiskStation Manager

avis de vulnérabilité informatique CVE-2018-5743

ISC BIND : restriction anti déni de service inefficace

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions sur le nombre de connexions TCP simultanées à ISC BIND, afin de mener un déni de service.
Produits concernés : Debian, BIG-IP Hardware, TMOS, BIND, RHEL, Slackware, Synology DSM, Ubuntu.
Gravité : 1/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 25/04/2019.
Références : CERTFR-2019-AVI-187, CVE-2018-5743, DSA-4440-1, K74009656, RHSA-2019:1145-01, SSA:2019-116-01, Synology-SA-19:20, USN-3956-1, USN-3956-2, VIGILANCE-VUL-29129.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions sur le nombre de connexions TCP simultanées à ISC BIND, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2019-6341

Drupal Core : Cross Site Scripting via File Module/Subsystem

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via File Module/Subsystem de Drupal Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Debian, Drupal Core, Fedora, IBM API Connect, I-Connect, Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 20/03/2019.
Références : CVE-2019-6341, DLA-1746-1, DRUPAL-SA-CORE-2019-004, DSA-4412-1, FEDORA-2019-2fbce03df3, FEDORA-2019-35589cfcb5, ibm10879443, Synology-SA-19:13, VIGILANCE-VUL-28786, ZDI-19-291.

Description de la vulnérabilité

Le module Core peut être installé sur Drupal.

Cependant, les données reçues via File Module/Subsystem ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via File Module/Subsystem de Drupal Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 28654

Synology DSM Office : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology DSM Office, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 05/03/2019.
Références : Synology-SA-19:11, VIGILANCE-VUL-28654.

Description de la vulnérabilité

Le produit Synology DSM Office dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology DSM Office, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2019-1559

OpenSSL 1.0.2 : obtention d'information via 0-byte Record Padding Oracle

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via 0-byte Record Padding Oracle de OpenSSL 1.0.2, afin d'obtenir des informations sensibles.
Produits concernés : SDS, SES, SNS, Debian, AIX, IBM i, MariaDB ~ précis, McAfee Web Gateway, MySQL Community, MySQL Enterprise, Nodejs Core, OpenSSL, openSUSE Leap, Solaris, Percona Server, SIMATIC, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 26/02/2019.
Références : bulletinapr2019, CERTFR-2019-AVI-080, CERTFR-2019-AVI-132, CERTFR-2019-AVI-214, cpuapr2019, CVE-2019-1559, DLA-1701-1, DSA-4400-1, ibm10876638, openSUSE-SU-2019:1076-1, openSUSE-SU-2019:1105-1, openSUSE-SU-2019:1173-1, openSUSE-SU-2019:1175-1, SB10282, SSA:2019-057-01, SSB-439005, STORM-2019-001, SUSE-SU-2019:0572-1, SUSE-SU-2019:0600-1, SUSE-SU-2019:0658-1, SUSE-SU-2019:0803-1, SUSE-SU-2019:0818-1, TNS-2019-02, USN-3899-1, VIGILANCE-VUL-28600.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via 0-byte Record Padding Oracle de OpenSSL 1.0.2, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2019-6465

ISC BIND : obtention d'information via DLZ Zone Transfer

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via DLZ Zone Transfer de ISC BIND, afin d'obtenir des informations sensibles.
Produits concernés : Debian, BIG-IP Hardware, TMOS, IBM i, BIND, Solaris, Synology DSM, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 22/02/2019.
Références : bulletinapr2019, CVE-2019-6465, DLA-1697-1, DSA-4440-1, ibm10876698, K00040234, K01713115, K25244852, Synology-SA-19:10, USN-3893-1, USN-3893-2, VIGILANCE-VUL-28584.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via DLZ Zone Transfer de ISC BIND, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-5745

ISC BIND : erreur d'assertion via Managed-keys Trust Anchor Rolls Over

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion via Managed-keys Trust Anchor Rolls Over de ISC BIND, afin de mener un déni de service.
Produits concernés : Debian, BIG-IP Hardware, TMOS, IBM i, BIND, Solaris, Synology DSM, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Date création : 22/02/2019.
Références : bulletinapr2019, CVE-2018-5745, DLA-1697-1, DSA-4440-1, ibm10876698, K00040234, K01713115, K25244852, Synology-SA-19:10, USN-3893-1, USN-3893-2, VIGILANCE-VUL-28583.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion via Managed-keys Trust Anchor Rolls Over de ISC BIND, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 28541

Synology Note Station : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology Note Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 19/02/2019.
Références : Synology-SA-19:08, VIGILANCE-VUL-28541.

Description de la vulnérabilité

Le produit Synology Note Station dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology Note Station, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2019-5736

runc : exécution de code via FS Descriptors Container Escape

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via FS Descriptors Container Escape de runc, afin d'exécuter du code.
Produits concernés : Docker CE, Fedora, openSUSE Leap, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 11/02/2019.
Références : CVE-2019-5736, FEDORA-2019-352d4b9cd8, FEDORA-2019-3f19f13ecd, FEDORA-2019-4dc1e39b34, FEDORA-2019-6174b47003, FEDORA-2019-829524f28f, FEDORA-2019-963ea958f9, FEDORA-2019-a5f616808e, FEDORA-2019-bc70b381ad, FEDORA-2019-df2e68aa6b, FEDORA-2019-f455ef79b8, openSUSE-SU-2019:0170-1, openSUSE-SU-2019:0201-1, openSUSE-SU-2019:0208-1, openSUSE-SU-2019:0252-1, openSUSE-SU-2019:0295-1, openSUSE-SU-2019:1079-1, openSUSE-SU-2019:1227-1, openSUSE-SU-2019:1230-1, openSUSE-SU-2019:1275-1, RHSA-2019:0303-01, RHSA-2019:0304-01, SSA:2019-043-01, SUSE-SU-2019:0362-1, SUSE-SU-2019:0495-1, SUSE-SU-2019:0573-1, SUSE-SU-2019:1234-1, SUSE-SU-2019:1264-1, Synology-SA-19:06, VIGILANCE-VUL-28477.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via FS Descriptors Container Escape de runc, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 28278

Synology DSM Calendar : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology DSM Calendar, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 15/01/2019.
Références : Synology-SA-19:04, VIGILANCE-VUL-28278.

Description de la vulnérabilité

Le produit Synology DSM Calendar dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology DSM Calendar, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2019-6110

OpenSSH scp, PuTTY PSCP : spoofing via Scp Client ANSI Codes stderr File Hidding

Synthèse de la vulnérabilité

Un attaquant peut usurper les noms de fichiers affichés dans le client scp de OpenSSH et PuTTY, afin de tromper la victime.
Produits concernés : IBM i, OpenSSH, openSUSE Leap, Solaris, PuTTY, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***.
Gravité : 1/4.
Conséquences : camouflage.
Provenance : serveur internet.
Date création : 14/01/2019.
Références : bulletinjan2019, CVE-2019-6110, ibm10731015, openSUSE-SU-2019:0091-1, openSUSE-SU-2019:0093-1, SUSE-SU-2019:0125-1, SUSE-SU-2019:0126-1, SUSE-SU-2019:0132-1, SUSE-SU-2019:13931-1, VIGILANCE-VUL-28262.

Description de la vulnérabilité

Un attaquant peut usurper les noms de fichiers affichés dans le client scp de OpenSSH et PuTTY, afin de tromper la victime.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur DiskStation Manager :