L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de IBM i

avis de vulnérabilité CVE-2018-5741

ISC BIND : élévation de privilèges via krb5-subdomain/ms-subdomain Configuration Bypass

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via krb5-subdomain/ms-subdomain Configuration Bypass de ISC BIND, afin d'élever ses privilèges.
Produits concernés : IBM i, BIND, WindRiver Linux.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client intranet.
Date création : 20/09/2018.
Références : CERTFR-2018-AVI-453, CVE-2018-5741, ibm10787627, VIGILANCE-VUL-27274.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via krb5-subdomain/ms-subdomain Configuration Bypass de ISC BIND, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-7166

Node Core : obtention d'information via Buffer.alloc

Synthèse de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire via Buffer.alloc() de Node Core, afin d'obtenir des informations sensibles.
Produits concernés : IBM i, Nodejs Core.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 16/08/2018.
Références : CVE-2018-7166, ibm10730325, VIGILANCE-VUL-27030.

Description de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire via Buffer.alloc() de Node Core, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-10858 CVE-2018-10918 CVE-2018-10919

Samba : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Samba.
Produits concernés : Debian, Fedora, IBM i, QRadar SIEM, openSUSE Leap, Solaris, RHEL, Samba, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 14/08/2018.
Références : bulletinjul2018, CERTFR-2018-AVI-384, CVE-2018-10858, CVE-2018-10918, CVE-2018-10919, CVE-2018-1139, CVE-2018-1140, DLA-1539-1, DSA-4271-1, FEDORA-2018-8e4d871867, FEDORA-2018-bc22d6c7bc, ibm10730345, ibm10874886, openSUSE-SU-2018:2396-1, openSUSE-SU-2018:2400-1, openSUSE-SU-2018:3211-1, RHSA-2018:3056-01, SSA:2018-229-02, SUSE-SU-2018:2318-1, SUSE-SU-2018:2319-1, SUSE-SU-2018:2320-1, SUSE-SU-2018:2321-1, SUSE-SU-2018:2329-1, SUSE-SU-2018:2339-1, SUSE-SU-2018:3161-1, USN-3738-1, VIGILANCE-VUL-26979.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Samba.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-5740

ISC BIND : erreur d'assertion via deny-answer-aliases

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion via deny-answer-aliases de ISC BIND, afin de mener un déni de service.
Produits concernés : Debian, BIG-IP Hardware, TMOS, IBM i, BIND, Junos Space, Data ONTAP, Solaris, RHEL, Slackware, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 09/08/2018.
Références : bulletinoct2018, CERTFR-2018-AVI-380, CVE-2018-5740, DLA-1485-1, ibm10725903, JSA10917, K98528405, NTAP-20180926-0001, NTAP-20180926-0002, NTAP-20180926-0003, NTAP-20180926-0004, NTAP-20180926-0005, NTAP-20180927-0001, RHSA-2018:2570-01, RHSA-2018:2571-01, SSA:2018-222-01, USN-3769-1, USN-3769-2, VIGILANCE-VUL-26934.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion via deny-answer-aliases de ISC BIND, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2018-8011

Apache httpd : déréférencement de pointeur NULL via mod_md

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via mod_md de Apache httpd, afin de mener un déni de service.
Produits concernés : Apache httpd, Fedora, IBM i, openSUSE Leap, Solaris, Slackware, SLES.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 18/07/2018.
Références : bulletinjul2018, CVE-2018-8011, FEDORA-2018-49d3b42425, ibm10720141, openSUSE-SU-2018:2433-1, SSA:2018-199-01, SUSE-SU-2018:2424-1, VIGILANCE-VUL-26781.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via mod_md de Apache httpd, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-1333

Apache httpd : déni de service via HTTP/2

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via HTTP/2 de Apache httpd, afin de mener un déni de service.
Produits concernés : Apache httpd, IBM i, openSUSE Leap, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 18/07/2018.
Références : CVE-2018-1333, ibm10720141, openSUSE-SU-2018:2397-1, openSUSE-SU-2018:2433-1, RHSA-2018:3558-01, SSA:2018-199-01, SUSE-SU-2018:2336-1, SUSE-SU-2018:2424-1, USN-3783-1, VIGILANCE-VUL-26780.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via HTTP/2 de Apache httpd, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-13785

libpng : débordement d'entier via png_check_chunk_length

Synthèse de la vulnérabilité

Un attaquant peut provoquer un débordement d'entier via png_check_chunk_length() de libpng, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Fedora, AIX, IBM i, libpng, McAfee Web Gateway, Java OpenJDK, openSUSE Leap, Java Oracle, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 12/07/2018.
Références : cpuoct2018, CVE-2018-13785, FEDORA-2018-04eded822e, FEDORA-2018-3e04e9fe54, ibm10743955, openSUSE-SU-2019:0042-1, openSUSE-SU-2019:0043-1, RHSA-2018:3000-01, RHSA-2018:3001-01, RHSA-2018:3002-01, RHSA-2018:3003-01, RHSA-2018:3007-01, RHSA-2018:3008-01, RHSA-2018:3533-01, RHSA-2018:3534-01, RHSA-2018:3671-01, RHSA-2018:3672-01, SB10255, SUSE-SU-2018:3868-1, SUSE-SU-2018:3920-1, SUSE-SU-2018:3921-1, SUSE-SU-2018:3933-1, SUSE-SU-2018:4064-1, SUSE-SU-2019:0049-1, SUSE-SU-2019:0057-1, SUSE-SU-2019:0058-1, USN-3712-1, USN-3712-2, VIGILANCE-VUL-26692.

Description de la vulnérabilité

Un attaquant peut provoquer un débordement d'entier via png_check_chunk_length() de libpng, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2018-7164

Node.js Core : déni de service via Unused Memory

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Unused Memory de Node.js Core, afin de mener un déni de service.
Produits concernés : IBM i, Nodejs Core.
Gravité : 1/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 13/06/2018.
Références : CVE-2018-7164, ibm10715995, VIGILANCE-VUL-26421.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Unused Memory de Node.js Core, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-7162

Node.js Core : utilisation de mémoire libérée via TLS

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via TLS de Node.js Core, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Fedora, IBM i, Nodejs Core.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 13/06/2018.
Références : CVE-2018-7162, FEDORA-2018-79841c871e, FEDORA-2018-f59d961d7b, ibm10715995, VIGILANCE-VUL-26420.

Description de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via TLS de Node.js Core, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-7161

Node.js Core : déni de service via HTTP2 Cleanup

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via HTTP2 Cleanup de Node.js Core, afin de mener un déni de service.
Produits concernés : Fedora, IBM i, IRAD, Nodejs Core, openSUSE Leap, SLES.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 13/06/2018.
Références : CVE-2018-7161, FEDORA-2018-79841c871e, FEDORA-2018-f59d961d7b, ibm10715995, ibm10728705, openSUSE-SU-2018:1963-1, SUSE-SU-2018:1918-1, VIGILANCE-VUL-26419.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via HTTP2 Cleanup de Node.js Core, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur IBM i :