L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de IBM DB2 UDB

avis de vulnérabilité CVE-2014-3570 CVE-2014-3571 CVE-2014-3572

OpenSSL : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Produits concernés : ArubaOS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Cisco ATA, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco ESA, IOS par Cisco, IronPort Email, IronPort Web, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Prime Network Control Systems, Cisco PRSM, Cisco Router, Cisco IP Phone, Cisco MeetingPlace, Cisco WSA, Clearswift Email Gateway, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, DB2 UDB, Domino, Notes, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Juniper SBR, MBS, McAfee Email Gateway, McAfee Web Gateway, Data ONTAP, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, pfSense, Puppet, RHEL, Base SAS Software, SAS SAS/CONNECT, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 08/01/2015.
Références : 1610582, 1699810, 1700997, 1902260, 1903541, 1973383, 55767, 9010028, ARUBA-PSA-2015-003, bulletinjan2015, c04556853, c04679334, CERTFR-2015-AVI-008, CERTFR-2015-AVI-108, CERTFR-2015-AVI-146, CERTFR-2016-AVI-303, cisco-sa-20150310-ssl, cpuapr2017, cpujul2018, cpuoct2016, cpuoct2017, CTX216642, CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-8275, CVE-2015-0204, CVE-2015-0205, CVE-2015-0206, DSA-3125-1, FEDORA-2015-0512, FEDORA-2015-0601, FreeBSD-SA-15:01.openssl, HPSBUX03244, HPSBUX03334, JSA10679, MDVSA-2015:019, MDVSA-2015:062, MDVSA-2015:063, NetBSD-SA2015-006, NetBSD-SA2015-007, NTAP-20150205-0001, openSUSE-SU-2015:0130-1, openSUSE-SU-2015:1277-1, openSUSE-SU-2016:0640-1, RHSA-2015:0066-01, RHSA-2015:0800-01, SA40015, SA88, SB10108, SOL16120, SOL16123, SOL16124, SOL16126, SOL16135, SOL16136, SOL16139, SP-CAAANXD, SPL-95203, SPL-95206, SSA:2015-009-01, SSRT101885, SSRT102000, SUSE-SU-2015:1138-1, SUSE-SU-2015:1161-1, USN-2459-1, VIGILANCE-VUL-15934, VU#243585.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Un attaquant peut envoyer un message DTLS, pour forcer le déréférencement d'un pointeur NULL dans dtls1_get_record(), afin de mener un déni de service. [grav:2/4; CVE-2014-3571]

Un attaquant peut envoyer un message DTLS, pour provoquer une fuite mémoire dans dtls1_buffer_record(), afin de mener un déni de service. [grav:1/4; CVE-2015-0206]

Un attaquant peut forcer un client TLS à utiliser ECDH au lieu de ECDHE (ephemeral). [grav:2/4; CVE-2014-3572]

Un attaquant peut forcer un client TLS à utiliser EXPORT_RSA au lieu de RSA (VIGILANCE-VUL-16301). [grav:2/4; CVE-2015-0204, VU#243585]

Un attaquant peut s'authentifier sans utiliser de clé privé, dans le cas où le serveur fait confiance à une autorité de certification qui publie des certificats avec des clés DH (cas rare) (VIGILANCE-VUL-16300). [grav:2/4; CVE-2015-0205]

Un attaquant peut changer l'empreinte d'un certificat, sans conséquence connue sur la sécurité. [grav:1/4; CVE-2014-8275]

Dans certains cas peu probables, la fonction BN_sqr() fournit un résultat incorrect, sans conséquence connue sur la sécurité. [grav:1/4; CVE-2014-3570]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2014-8730 CVE-2015-2774

Check Point, Cisco, IBM, F5, FortiOS : obtention d'information via POODLE sur TLS

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-Middle, peut déchiffrer une session Terminating TLS, afin d'obtenir des informations sensibles.
Produits concernés : GAiA, CheckPoint IP Appliance, IPSO, CheckPoint Power-1 Appliance, SecurePlatform, CheckPoint Security Appliance, CheckPoint Smart-1, CheckPoint VSX-1, Cisco ACE, ASA, BIG-IP Hardware, TMOS, Fedora, FortiGate, FortiGate Virtual Appliance, FortiOS, DB2 UDB, Domino, Informix Server, Tivoli Directory Server, openSUSE, Solaris, Palo Alto Firewall PA***, PAN-OS, Ubuntu.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 09/12/2014.
Date révision : 17/12/2014.
Références : 1450666, 1610582, 1647054, 1692906, 1693052, 1693142, bulletinjul2017, CERTFR-2014-AVI-533, CSCus08101, CSCus09311, CVE-2014-8730, CVE-2015-2774, FEDORA-2015-12923, FEDORA-2015-12970, openSUSE-SU-2016:0523-1, sk103683, SOL15882, USN-3571-1, VIGILANCE-VUL-15756.

Description de la vulnérabilité

La vulnérabilité VIGILANCE-VUL-15485 (POODLE) est due à une gestion incorrecte du padding (bourrage) dans SSLv3.

Le produit F5 BIG-IP peut être configuré pour "terminer" les sessions SSL/TLS. Cependant, même lorsque TLS est employé, cette fonctionnalité de BIG-IP utilise la fonction SSLv3 pour gérer le padding. Les sessions TLS sont alors également vulnérables à POODLE.

La même vulnérabilité impacte aussi des produits Check Point, Cisco, IBM et Fortinet.

Un attaquant, placé en Man-in-the-Middle, peut donc déchiffrer une session Terminating TLS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2014-6159 CVE-2014-6209 CVE-2014-6210

IBM DB2 10.5 : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de IBM DB2 10.5.
Produits concernés : DB2 UDB.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 12/12/2014.
Références : 1647054, CVE-2014-6159, CVE-2014-6209, CVE-2014-6210, CVE-2014-8901, IT04138, IT04730, IT04786, IT05074, IT05105, IT05647, IT05652, IT05933, IT05939, VIGILANCE-VUL-15789.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans IBM DB2 10.5.

Un attaquant peut utiliser plusieurs fois ALTER TABLE, afin de mener un déni de service. [grav:1/4; CVE-2014-6210, IT04138, IT05652]

Un attaquant peut utiliser la commande ALTER TABLE avec AUTO_REVAL configuré à IMMEDIATE, afin de mener un déni de service. [grav:1/4; CVE-2014-6159, IT04730, IT05074, IT05105]

Un attaquant peut utiliser un ALTER TABLE sur un Identity Column, afin de mener un déni de service. [grav:1/4; CVE-2014-6209, IT04786, IT05647]

Un attaquant peut utiliser des données XML, afin de mener un déni de service. [grav:1/4; CVE-2014-8901, IT05933, IT05939]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-3094 CVE-2014-3095 CVE-2014-6097

IBM DB2 9.7 : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de IBM DB2 9.7.
Produits concernés : DB2 UDB.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 06/11/2014.
Références : 1450666, CVE-2014-3094, CVE-2014-3095, CVE-2014-6097, CVE-2014-6159, IT02291, IT02433, IT02592, IT02645, IT02646, IT03786, IT04730, IT05074, IT05105, VIGILANCE-VUL-15603.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans IBM DB2 9.7.

Un attaquant peut utiliser ALTER MODULE, afin de mener un déni de service. [grav:1/4; CVE-2014-3094, IT02291, IT02592]

Un attaquant peut provoquer une erreur dans le SQL Compiler, afin de mener un déni de service. [grav:1/4; CVE-2014-3095, IT02433, IT02645, IT02646]

Un attaquant peut utiliser la commande ALTER TABLE, afin de mener un déni de service. [grav:1/4; CVE-2014-6097, IT03786]

Un attaquant peut utiliser la commande ALTER TABLE avec AUTO_REVAL configuré à IMMEDIATE, afin de mener un déni de service. [grav:1/4; CVE-2014-6159, IT04730, IT05074, IT05105]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2013-6371 CVE-2014-3094 CVE-2014-3095

IBM DB2 10.5 : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de IBM DB2 10.5.
Produits concernés : DB2 UDB.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 29/08/2014.
Références : 1647054, CVE-2013-6371, CVE-2014-3094, CVE-2014-3095, CVE-2014-4805, IT02201, IT02291, IT02433, IT02592, IT02645, IT02646, IT03761, VIGILANCE-VUL-15245.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans IBM DB2 10.5.

Un attaquant peut employer des données JSON spéciales, pour provoquer de collisions dans une fonction de hachage, afin de mener un déni de service (VIGILANCE-VUL-14615). [grav:2/4; CVE-2013-6371, IT02201]

Un attaquant peut utiliser ALTER MODULE, afin de mener un déni de service. [grav:1/4; CVE-2014-3094, IT02291, IT02592]

Un attaquant peut provoquer une erreur dans le SQL Compiler, afin de mener un déni de service. [grav:1/4; CVE-2014-3095, IT02433, IT02645, IT02646]

Un attaquant peut utiliser LOAD, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-4805, IT03761]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2014-2483 CVE-2014-2490 CVE-2014-4208

Oracle Java : multiples vulnérabilités de juillet 2014

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Debian, Fedora, HP-UX, AIX, DB2 UDB, Domino, Notes, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, MBS, ePO, Java OpenJDK, openSUSE, Java Oracle, JavaFX, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif, vCenter Server, VMware vSphere.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 20.
Date création : 16/07/2014.
Références : 1680418, 1686749, 1686824, 1689579, 7014224, c04398922, c04398943, CERTFR-2014-AVI-320, cpujul2014, CVE-2014-2483, CVE-2014-2490, CVE-2014-4208, CVE-2014-4209, CVE-2014-4216, CVE-2014-4218, CVE-2014-4219, CVE-2014-4220, CVE-2014-4221, CVE-2014-4223, CVE-2014-4227, CVE-2014-4244, CVE-2014-4247, CVE-2014-4252, CVE-2014-4262, CVE-2014-4263, CVE-2014-4264, CVE-2014-4265, CVE-2014-4266, CVE-2014-4268, DSA-2980-1, DSA-2987-1, DSA-2987-2, FEDORA-2014-8395, FEDORA-2014-8407, FEDORA-2014-8417, FEDORA-2014-8441, HPSBUX03091, HPSBUX03092, MDVSA-2014:141, openSUSE-SU-2014:1638-1, openSUSE-SU-2014:1645-1, RHSA-2014:0889-01, RHSA-2014:0890-01, RHSA-2014:0902-01, RHSA-2014:0907-01, RHSA-2014:0908-01, RHSA-2014:1033-01, RHSA-2014:1036-01, RHSA-2014:1041-01, RHSA-2014:1042-01, SB10083, SSRT101667, SSRT101668, SUSE-SU-2014:0961-1, USN-2312-1, USN-2319-1, USN-2319-2, USN-2319-3, VIGILANCE-VUL-15051, VMSA-2014-0008.2, VMSA-2014-0012, ZDI-14-258.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4227]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4219]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2490, ZDI-14-258]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4216]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4247]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2483]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4223]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4262]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-4209]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; CVE-2014-4265]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; CVE-2014-4220]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'altérer des informations. [grav:2/4; CVE-2014-4218]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations. [grav:2/4; CVE-2014-4252]

Un attaquant peut employer une vulnérabilité de Serviceability, afin d'altérer des informations. [grav:2/4; CVE-2014-4266]

Un attaquant peut employer une vulnérabilité de Swing, afin d'obtenir des informations. [grav:2/4; CVE-2014-4268]

Un attaquant peut employer une vulnérabilité de Security, afin de mener un déni de service. [grav:2/4; CVE-2014-4264]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations. [grav:2/4; CVE-2014-4221]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-4244]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-4263]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:1/4; CVE-2014-4208]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2014-0907

IBM DB2 : élévation de privilèges via acsX et db2iclean

Synthèse de la vulnérabilité

Un attaquant local peut créer une bibliothèque illicite, qui est chargée par acscim, acsnnas, acsnsan et db2iclean de IBM DB2, afin d'élever ses privilèges.
Produits concernés : DB2 UDB, Tivoli Workload Scheduler.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 26/05/2014.
Date révision : 04/06/2014.
Références : 1610582, 1672100, 1678196, CVE-2014-0907, VIGILANCE-VUL-14801.

Description de la vulnérabilité

Le produit IBM DB2 installe plusieurs programmes suid root : acscim, acsnnas, acsnsan et db2iclean.

Cependant, ils sont compilés avec un RPATH relatif, c'est-à-dire qu'ils acceptent de charger les bibliothèques situées à partir du répertoire courant.

Un attaquant local peut donc créer une bibliothèque illicite, qui est chargée par acscim, acsnnas, acsnsan et db2iclean de IBM DB2, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2013-6744

IBM DB2 : élévation de privilèges via Stored Procedure

Synthèse de la vulnérabilité

Un attaquant local, avec le privilège CREATE_EXTERNAL_ROUTINE, peut créer une Stored Procedure de IBM DB2, afin d'élever ses privilèges sous Windows.
Produits concernés : DB2 UDB.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 26/05/2014.
Références : 1610582, 1673947, CVE-2013-6744, VIGILANCE-VUL-14800.

Description de la vulnérabilité

Un attaquant local, avec le privilège CREATE_EXTERNAL_ROUTINE, peut créer une Stored Procedure de IBM DB2, afin d'élever ses privilèges sous Windows.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2014-0963

IBM GSKit : boucle infinie de SSL

Synthèse de la vulnérabilité

Un attaquant peut envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Produits concernés : DB2 UDB, Domino, I-Connect, Informix Server, Notes, Security Directory Server, SPSS Modeler, Tivoli Storage Manager, Tivoli Workload Scheduler.
Gravité : 3/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 20/05/2014.
Références : 1610582, 1671732, 1672724, 1673008, 1673018, 1673666, 1673696, 1674047, 1674824, 1674825, 1681114, 7042179, CVE-2014-0963, VIGILANCE-VUL-14775.

Description de la vulnérabilité

La suite IBM Global Security Kit (GSKit) implémente le support de SSL/TLS pour plusieurs applications IBM.

Cependant, certains messages SSL provoquent une boucle infinie dans GSKit.

Un attaquant peut donc envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2013-6747

IBM GSKit : déni de service via SSL/TLS

Synthèse de la vulnérabilité

Un attaquant peut envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Produits concernés : DB2 UDB, Informix Server, Security Directory Server, SPSS Modeler, Tivoli Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere MQ.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 30/01/2014.
Références : 1610582, 1662902, 1665137, 1668664, 1670524, 1671732, 1673696, 1674047, 1674824, 1674825, CVE-2013-6747, VIGILANCE-VUL-14158.

Description de la vulnérabilité

La suite IBM Global Security Kit (GSKit) implémente le support de SSL/TLS pour plusieurs applications IBM.

Cependant, une chaîne de certificats malformée provoque une erreur.

Un attaquant peut donc envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur IBM DB2 UDB :