L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de HP Performance Center

menace CVE-2017-14359

HPE Performance Center : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de HPE Performance Center, afin d'exécuter du code JavaScript dans le contexte du site web.
Gravité : 2/4.
Date création : 06/11/2017.
Références : CVE-2017-14359, KM02996754, MFSBGN03788, VIGILANCE-VUL-24327.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit HPE Performance Center dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de HPE Performance Center, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte sécurité CVE-2017-11357

Telerik UI for ASP.NET AJAX : upload de fichier via Direct Object Reference

Synthèse de la vulnérabilité

Un attaquant peut uploader un fichier malveillant via RadAsyncUpload sur Telerik UI for ASP.NET AJAX, afin par exemple de déposer un Cheval de Troie.
Gravité : 3/4.
Date création : 24/08/2017.
Références : CVE-2017-11357, VIGILANCE-VUL-23607.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Telerik UI for ASP.NET AJAX dispose d'un service web.

Il peut être utilisé pour uploader un fichier. Cependant, ce fichier peut être uploadé dans un répertoire arbitraire sur le serveur, puis exécuté.

Un attaquant peut donc uploader un fichier malveillant via Direct Object Reference sur Telerik UI for ASP.NET AJAX, afin par exemple de déposer un Cheval de Troie.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de faille CVE-2017-8953

HPE LoadRunner, Performance Center : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de HPE LoadRunner ou HPE Performance Center, afin d'exécuter du code JavaScript dans le contexte du site web.
Gravité : 2/4.
Date création : 12/07/2017.
Références : CVE-2017-8953, HPESBGN03764, hpesbgn03764en_us, VIGILANCE-VUL-23214.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit HPE LoadRunner ou HPE Performance Center dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de HPE LoadRunner ou HPE Performance Center, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-5789

HPE LoadRunner, Performance Center : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de HPE LoadRunner et Performance Center, afin d'exécuter du code.
Gravité : 3/4.
Date création : 09/03/2017.
Références : CVE-2017-5789, HPESBGN03712, VIGILANCE-VUL-22049, ZDI-17-160.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de HPE LoadRunner et Performance Center, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

menace cyber-sécurité CVE-2016-8512

HP LoadRunner, Performance Center : buffer overflow via MMS

Synthèse de la vulnérabilité

Un attaquant peut provoquer un débordement de tampon via un paquet MMS dans HP LoadRunner et HP Performance Center, afin de mener un déni de service, et éventuellement d'exécuter du code.
Gravité : 3/4.
Date création : 16/12/2016.
Références : c05354136, CVE-2016-8512, HPSBGN03679, VIGILANCE-VUL-21404.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Les produits HP LoadRunner et Performance Center peuvent utiliser un prototole "MMS".

Cependant, lors de traitement de message de ce protocole, si la taille des données est supérieure à la taille du tableau de stockage, un débordement se produit.

Un attaquant peut donc provoquer un débordement de tampon via un paquet MMS dans HP LoadRunner et HP Performance Center, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

faille informatique CVE-2016-4384

HPE LoadRunner, Performance Center : déni de service

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale de HPE LoadRunner ou Performance Center, afin de mener un déni de service.
Gravité : 2/4.
Date création : 21/09/2016.
Références : c05278882, CVE-2016-4384, HPSBGN03648, VIGILANCE-VUL-20660.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale de HPE LoadRunner ou Performance Center, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

menace cyber-sécurité CVE-2016-2183 CVE-2016-6329

Blowfish, Triple-DES : algorithmes trop faibles, SWEET32

Synthèse de la vulnérabilité

Un attaquant peut créer une session TLS/VPN avec un algorithme Blowfish/Triple-DES, et mener une attaque de deux jours, afin de déchiffrer des données.
Gravité : 1/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 25/08/2016.
Références : 1610582, 1991866, 1991867, 1991870, 1991871, 1991875, 1991876, 1991878, 1991880, 1991882, 1991884, 1991885, 1991886, 1991887, 1991889, 1991892, 1991894, 1991896, 1991902, 1991903, 1991951, 1991955, 1991959, 1991960, 1991961, 1992681, 1993777, 1994375, 1995099, 1995922, 1998797, 1999054, 1999421, 2000209, 2000212, 2000370, 2000544, 2001608, 2002021, 2002335, 2002336, 2002479, 2002537, 2002870, 2002897, 2002991, 2003145, 2003480, 2003620, 2003673, 2004036, 2008828, 523628, 9010102, bulletinapr2017, c05349499, c05369403, c05369415, c05390849, CERTFR-2017-AVI-012, CERTFR-2019-AVI-049, CERTFR-2019-AVI-311, cisco-sa-20160927-openssl, cpuapr2017, cpujan2018, cpujul2017, cpujul2019, cpuoct2017, CVE-2016-2183, CVE-2016-6329, DSA-2018-124, DSA-2019-131, DSA-3673-1, DSA-3673-2, FEDORA-2016-7810e24465, FEDORA-2016-dc2cb4ad6b, FG-IR-16-047, FG-IR-16-048, FG-IR-17-127, FG-IR-17-173, HPESBGN03697, HPESBGN03765, HPESBUX03725, HPSBGN03690, HPSBGN03694, HPSBHF03674, ibm10718843, java_jan2017_advisory, JSA10770, KM03060544, NTAP-20160915-0001, openSUSE-SU-2016:2199-1, openSUSE-SU-2016:2391-1, openSUSE-SU-2016:2407-1, openSUSE-SU-2016:2496-1, openSUSE-SU-2016:2537-1, openSUSE-SU-2017:1638-1, openSUSE-SU-2018:0458-1, RHSA-2017:0336-01, RHSA-2017:0337-01, RHSA-2017:0338-01, RHSA-2017:3113-01, RHSA-2017:3114-01, RHSA-2017:3239-01, RHSA-2017:3240-01, RHSA-2018:2123-01, SA133, SA40312, SB10171, SB10186, SB10197, SB10215, SOL13167034, SP-CAAAPUE, SPL-129207, SSA:2016-266-01, SSA:2016-363-01, SSA-556833, SUSE-SU-2016:2387-1, SUSE-SU-2016:2394-1, SUSE-SU-2016:2458-1, SUSE-SU-2016:2468-1, SUSE-SU-2016:2469-1, SUSE-SU-2016:2470-1, SUSE-SU-2016:2470-2, SUSE-SU-2017:1444-1, SUSE-SU-2017:2838-1, SUSE-SU-2017:3177-1, SWEET32, TNS-2016-16, USN-3087-1, USN-3087-2, USN-3270-1, USN-3339-1, USN-3339-2, USN-3372-1, VIGILANCE-VUL-20473.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Les algorithmes de chiffrement symétrique Blowfish et Triple-DES utilisent des blocs de 64 bits.

Cependant, s'ils sont utilisés en mode CBC, une collision se produit après 785 GB transférés, et il devient possible de déchiffrer les blocs avec une attaque qui dure 2 jours.

Un attaquant peut donc créer une session TLS/VPN avec un algorithme Blowfish/Triple-DES, et mener une attaque de deux jours, afin de déchiffrer des données.
Bulletin Vigil@nce complet... (Essai gratuit)

menace cybersécurité CVE-2016-4359 CVE-2016-4360 CVE-2016-4361

HPE LoadRunner, Performance Center : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de HPE LoadRunner, Performance Center.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 01/06/2016.
Références : c05157423, CVE-2016-4359, CVE-2016-4360, CVE-2016-4361, HPSBGN03609, VIGILANCE-VUL-19752, ZDI-16-363, ZDI-16-364.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans HPE LoadRunner, Performance Center.

Un attaquant peut utiliser une vulnérabilité via Shared Memory Name Construction, afin d'exécuter du code. [grav:3/4; CVE-2016-4359, ZDI-16-363]

Un attaquant peut provoquer une erreur fatale via import_csv, afin de mener un déni de service. [grav:2/4; CVE-2016-4360, ZDI-16-364]

Un attaquant peut provoquer une erreur fatale, afin de mener un déni de service. [grav:2/4; CVE-2016-4361]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte cyber-sécurité CVE-2015-6857

HP Loadrunner/Performance Virtual Table Server : exécution de code via import_database

Synthèse de la vulnérabilité

Un attaquant non authentifié peut accéder à HP Loadrunner Virtual Table Server ou HP Performance Center Virtual Table Server, afin d'exécuter du code privilégié.
Gravité : 3/4.
Date création : 25/11/2015.
Dates révisions : 03/12/2015, 04/12/2015.
Références : c04900820, c04907374, CVE-2015-6857, HPSBGN03523, HPSBGN03525, VIGILANCE-VUL-18377, ZDI-15-581.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Les produits HP Loadrunner Virtual Table Server et HP Performance Center Virtual Table Server écoutent sur le port 4000.

Cependant, en utilisant la ressource /data/import_database pour injecter des commandes SQL, un attaquant peut modifier la base, et ensuite exécuter du code avec les privilèges NETWORK SERVICE.

Un attaquant non authentifié peut donc accéder à HP Loadrunner Virtual Table Server ou HP Performance Center Virtual Table Server, afin d'exécuter du code privilégié.
Bulletin Vigil@nce complet... (Essai gratuit)

avis cyber-sécurité CVE-2015-2121

HP Network Virtualization for LoadRunner and Performance Center : obtention d'information

Synthèse de la vulnérabilité

Un attaquant distant peut utiliser HP Network Virtualization for LoadRunner and Performance Center, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 11/05/2015.
Références : c04657310, CVE-2015-2121, HPSBGN03328, VIGILANCE-VUL-16854, ZDI-15-192.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant distant peut utiliser HP Network Virtualization for LoadRunner and Performance Center, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur HP Performance Center :