L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de DiskStation Manager

bulletin de vulnérabilité informatique 28278

Synology DSM Calendar : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Synology DSM Calendar, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 15/01/2019.
Références : Synology-SA-19:04, VIGILANCE-VUL-28278.

Description de la vulnérabilité

Le produit Synology DSM Calendar dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Synology DSM Calendar, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 27547

Synology DSM : obtention d'information

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Synology DSM, afin d'obtenir des informations sensibles.
Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 17/10/2018.
Références : Synology-SA-18:55, VIGILANCE-VUL-27547.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Synology DSM, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 27173

Synology DSM : Man-in-the-Middle via Web Proxy Auto-Discovery

Synthèse de la vulnérabilité

Un attaquant peut se positionner en Man-in-the-Middle via Web Proxy Auto-Discovery sur Synology DSM, afin de lire ou modifier des données de la session.
Produits concernés : Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Date création : 06/09/2018.
Références : Synology-SA-18:53, VIGILANCE-VUL-27173, VU#598349.

Description de la vulnérabilité

Un attaquant peut se positionner en Man-in-the-Middle via Web Proxy Auto-Discovery sur Synology DSM, afin de lire ou modifier des données de la session.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 27148

Synology DSM Android Moments : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de Synology DSM Android Moments, afin d'exécuter du code.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Date création : 05/09/2018.
Références : Synology-SA-18:52, VIGILANCE-VUL-27148.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de Synology DSM Android Moments, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 27103

Synology DSM : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Synology DSM.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données.
Provenance : client intranet.
Date création : 29/08/2018.
Références : Synology-SA-18:51, VIGILANCE-VUL-27103.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Synology DSM.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 27086

Synology DSM Drive : obtention d'information

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Synology DSM Drive, afin d'obtenir des informations sensibles.
Produits concernés : Synology DSM.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 27/08/2018.
Références : Synology-SA-18:50, VIGILANCE-VUL-27086.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Synology DSM Drive, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 27065

Ghostscript : exécution de code via dSAFER

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via dSAFER de Ghostscript, afin d'exécuter du code.
Produits concernés : openSUSE Leap, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 23/08/2018.
Références : openSUSE-SU-2018:2516-1, openSUSE-SU-2018:2516-2, openSUSE-SU-2018:2600-1, openSUSE-SU-2018:3094-1, SSA:2018-249-02, SUSE-SU-2018:2553-1, SUSE-SU-2018:2560-1, SUSE-SU-2018:2562-1, SUSE-SU-2018:3072-1, Synology-SA-18:49, VIGILANCE-VUL-27065, VU#332928.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via dSAFER de Ghostscript, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-5389

IPsec IKEv1 Main Mode : obtention d'information via Brute Force

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Brute Force de IKEv1 Main Mode, afin d'obtenir des informations sensibles.
Produits concernés : BIG-IP Hardware, TMOS, FortiGate, FortiGate Virtual Appliance, FortiOS, Synology DSM, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 16/08/2018.
Références : CVE-2018-5389, FG-IR-18-214, K42378447, Synology-SA-18:46, VIGILANCE-VUL-27022, VU#857035.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Brute Force de IKEv1 Main Mode, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-15473

OpenSSH : obtention d'information via Username Enumeration

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Username Enumeration de OpenSSH, afin d'obtenir des informations sensibles.
Produits concernés : Blue Coat CAS, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, Fedora, AIX, Copssh, McAfee Web Gateway, Data ONTAP, OpenSSH, openSUSE Leap, Solaris, pfSense, SIMATIC, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Synology DSM, Synology DS***, Synology RS***, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 16/08/2018.
Références : bulletinjan2019, CERTFR-2018-AVI-410, CVE-2018-15473, DLA-1474-1, DSA-4280-1, FEDORA-2018-065a7722ee, FEDORA-2018-f56ded11c4, NTAP-20181101-0001, openSUSE-SU-2018:3801-1, openSUSE-SU-2018:3946-1, SB10267, SSB-439005, SUSE-SU-2018:3540-1, SUSE-SU-2018:3686-1, SUSE-SU-2018:3768-1, SUSE-SU-2018:3776-1, SUSE-SU-2018:3781-1, SUSE-SU-2018:3910-1, SYMSA1469, USN-3809-1, VIGILANCE-VUL-27016.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Username Enumeration de OpenSSH, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-5391

Noyau Linux : déni de service via FragmentSmack

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via FragmentSmack du noyau Linux, afin de mener un déni de service.
Produits concernés : GAiA, SecurePlatform, CheckPoint Security Gateway, Cisco Aironet, IOS XE Cisco, Nexus par Cisco, Prime Collaboration Assurance, Prime Infrastructure, Cisco Router, Secure ACS, Cisco CUCM, Cisco UCS, Cisco Unified CCX, Cisco IP Phone, Cisco Wireless Controller, Debian, BIG-IP Hardware, TMOS, Junos Space, Linux, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 7, Windows 8, Windows RT, openSUSE Leap, Palo Alto Firewall PA***, PAN-OS, RHEL, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, Synology DSM, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 16/08/2018.
Références : ADV180022, CERTFR-2018-AVI-390, CERTFR-2018-AVI-392, CERTFR-2018-AVI-419, CERTFR-2018-AVI-457, CERTFR-2018-AVI-478, CERTFR-2018-AVI-533, cisco-sa-20180824-linux-ip-fragment, CVE-2018-5391, DLA-1466-1, DLA-1529-1, DSA-4272-1, FragmentSmack, JSA10917, K74374841, openSUSE-SU-2018:2404-1, openSUSE-SU-2018:2407-1, openSUSE-SU-2019:0274-1, PAN-SA-2018-0012, RHSA-2018:2785-01, RHSA-2018:2791-01, RHSA-2018:2846-01, RHSA-2018:2924-01, RHSA-2018:2925-01, RHSA-2018:2933-01, RHSA-2018:2948-01, RHSA-2018:3083-01, RHSA-2018:3096-01, RHSA-2018:3459-01, RHSA-2018:3540-01, RHSA-2018:3586-01, RHSA-2018:3590-01, sk134253, SUSE-SU-2018:2344-1, SUSE-SU-2018:2374-1, SUSE-SU-2018:2380-1, SUSE-SU-2018:2381-1, SUSE-SU-2018:2596-1, SUSE-SU-2019:0541-1, SYMSA1467, Synology-SA-18:44, USN-3740-1, USN-3740-2, USN-3741-1, USN-3741-2, USN-3741-3, USN-3742-1, USN-3742-2, USN-3742-3, VIGILANCE-VUL-27009, VU#641765.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via FragmentSmack du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur DiskStation Manager :