L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de I-Connect

alerte de vulnérabilité CVE-2019-4052

IBM API Connect : obtention d'information via Login Ids

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Login Ids de IBM API Connect, afin d'obtenir des informations sensibles.
Produits concernés : IBM API Connect, I-Connect.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 21/03/2019.
Références : CVE-2019-4052, ibm10874248, VIGILANCE-VUL-28791.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Login Ids de IBM API Connect, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2019-6341

Drupal Core : Cross Site Scripting via File Module/Subsystem

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via File Module/Subsystem de Drupal Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Debian, Drupal Core, Fedora, IBM API Connect, I-Connect, Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 20/03/2019.
Références : CVE-2019-6341, DLA-1746-1, DRUPAL-SA-CORE-2019-004, DSA-4412-1, FEDORA-2019-2fbce03df3, FEDORA-2019-35589cfcb5, ibm10879443, Synology-SA-19:13, VIGILANCE-VUL-28786, ZDI-19-291.

Description de la vulnérabilité

Le module Core peut être installé sur Drupal.

Cependant, les données reçues via File Module/Subsystem ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via File Module/Subsystem de Drupal Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-2009

IBM API Connect : obtention d'information via Consumer API

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Consumer API de IBM API Connect, afin d'obtenir des informations sensibles.
Produits concernés : IBM API Connect, I-Connect.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Date création : 12/03/2019.
Références : CVE-2018-2009, ibm10794327, VIGILANCE-VUL-28717.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Consumer API de IBM API Connect, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 28683

Drupal EU Cookie Compliance : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Drupal EU Cookie Compliance, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Drupal Modules ~ non exhaustif, IBM API Connect, I-Connect.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 07/03/2019.
Références : DRUPAL-SA-CONTRIB-2019-033, ibm10878775, VIGILANCE-VUL-28683.

Description de la vulnérabilité

Le module EU Cookie Compliance peut être installé sur Drupal.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Drupal EU Cookie Compliance, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2019-1002100

Kubernetes : boucle infinie via API Server json-patch

Synthèse de la vulnérabilité

Un attaquant peut provoquer une boucle infinie via API Server json-patch de Kubernetes, afin de mener un déni de service.
Produits concernés : IBM API Connect, I-Connect, Kubernetes.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 04/03/2019.
Références : CVE-2019-1002100, ibm10879473, VIGILANCE-VUL-28640.

Description de la vulnérabilité

Un attaquant peut provoquer une boucle infinie via API Server json-patch de Kubernetes, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2014-0963

IBM GSKit : boucle infinie de SSL

Synthèse de la vulnérabilité

Un attaquant peut envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Produits concernés : DB2 UDB, Domino, I-Connect, Informix Server, Notes, Security Directory Server, SPSS Modeler, Tivoli Storage Manager, Tivoli Workload Scheduler.
Gravité : 3/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 20/05/2014.
Références : 1610582, 1671732, 1672724, 1673008, 1673018, 1673666, 1673696, 1674047, 1674824, 1674825, 1681114, 7042179, CVE-2014-0963, VIGILANCE-VUL-14775.

Description de la vulnérabilité

La suite IBM Global Security Kit (GSKit) implémente le support de SSL/TLS pour plusieurs applications IBM.

Cependant, certains messages SSL provoquent une boucle infinie dans GSKit.

Un attaquant peut donc envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.