L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de JBoss EAP par Red Hat

annonce de vulnérabilité informatique CVE-2018-14667

RichFaces Framework : exécution de code via UserResource Expression Language Injection

Synthèse de la vulnérabilité

Produits concernés : JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/11/2018.
Références : CVE-2018-14667, RHSA-2018:3517-01, RHSA-2018:3518-01, RHSA-2018:3581-01, VIGILANCE-VUL-27707.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via UserResource Expression Language Injection de RichFaces Framework, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-14627

WildFly : obtention d'information via IIOP SSL Required

Synthèse de la vulnérabilité

Produits concernés : JBoss EAP par Red Hat, Red Hat SSO, WildFly.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : LAN.
Confiance : confirmé par l'éditeur (5/5).
Date création : 05/09/2018.
Références : CVE-2018-14627, RHSA-2018:3527-01, RHSA-2018:3528-01, RHSA-2018:3529-01, RHSA-2018:3592-01, RHSA-2018:3593-01, RHSA-2018:3595-01, VIGILANCE-VUL-27147, WFLY-9107.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via IIOP SSL Required de WildFly, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2018-10237

Guava : déni de service via AtomicDoubleArray

Synthèse de la vulnérabilité

Produits concernés : JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2018.
Références : CVE-2018-10237, RHSA-2018:2423-01, RHSA-2018:2424-01, RHSA-2018:2425-01, RHSA-2018:2740-01, RHSA-2018:2741-01, RHSA-2018:2742-01, RHSA-2018:2743-01, VIGILANCE-VUL-27021.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via AtomicDoubleArray() de Guava, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-7464

Red Hat JBoss EAP : injection d'entité XML externe via JAXP

Synthèse de la vulnérabilité

Produits concernés : JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/07/2018.
Références : 1439520, CVE-2017-7464, VIGILANCE-VUL-26869.

Description de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes via JAXP à Red Hat JBoss EAP, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-10862

WildFly : traversée de répertoire

Synthèse de la vulnérabilité

Produits concernés : JBoss EAP par Red Hat, WildFly.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 27/07/2018.
Références : 1593527, CVE-2018-10862, RHSA-2018:2276-01, RHSA-2018:2277-01, RHSA-2018:2423-01, RHSA-2018:2424-01, RHSA-2018:2425-01, VIGILANCE-VUL-26853, WFCORE-3938.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de WildFly, afin de créer un fichier situé hors de la racine du service. Cette vulnérabilité fait partie de la famille Zip Slip (VIGILANCE-VUL-26357).
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2018-8039

Apache CXF : Man-in-the-Middle via com.sun.net.ssl

Synthèse de la vulnérabilité

Produits concernés : Rational ClearCase, WebSphere AS Liberty, WebSphere AS Traditional, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 27/07/2018.
Références : CVE-2018-8039, ibm10720065, ibm10734899, RHSA-2018:2276-01, RHSA-2018:2277-01, RHSA-2018:2423-01, RHSA-2018:2424-01, RHSA-2018:2425-01, RHSA-2018:3817-01, VIGILANCE-VUL-26852.

Description de la vulnérabilité

Un attaquant peut se positionner en Man-in-the-Middle via com.sun.net.ssl sur Apache CXF, afin de lire ou modifier des données de la session.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2018-1336

Apache Tomcat : boucle infinie via UTF-8 Decoder

Synthèse de la vulnérabilité

Produits concernés : Tomcat, Blue Coat CAS, Debian, openSUSE Leap, RHEL, JBoss EAP par Red Hat, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/07/2018.
Références : CERTFR-2018-AVI-356, CVE-2018-1336, DLA-1491-1, DSA-4281-1, openSUSE-SU-2018:2740-1, openSUSE-SU-2018:3054-1, RHSA-2018:2700-01, RHSA-2018:2701-01, RHSA-2018:2740-01, RHSA-2018:2741-01, RHSA-2018:2742-01, RHSA-2018:2743-01, RHSA-2018:2921-01, RHSA-2018:2930-01, SUSE-SU-2018:2699-1, SUSE-SU-2018:3011-2, SUSE-SU-2018:3261-1, SUSE-SU-2018:3388-1, SYMSA1463, USN-3723-1, VIGILANCE-VUL-26815.

Description de la vulnérabilité

Un attaquant peut provoquer une boucle infinie via UTF-8 Decoder de Apache Tomcat, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-7465

Red Hat JBoss EAP : exécution de code via XSL JAXP

Synthèse de la vulnérabilité

Produits concernés : JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/06/2018.
Références : 1439980, CVE-2017-7465, VIGILANCE-VUL-26578.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via XSL JAXP de Red Hat JBoss EAP, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-1000180

Bouncy Castle : vulnérabilité via RSA Digital Signature Prime Generation

Synthèse de la vulnérabilité

Produits concernés : Bouncy Castle JCE, Debian, Fedora, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, WebLogic, JBoss EAP par Red Hat.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 06/06/2018.
Références : cpujan2019, CVE-2018-1000180, DSA-4233-1, FEDORA-2018-ceced55c5e, FEDORA-2018-da9fe79871, openSUSE-SU-2018:2820-1, RHSA-2018:2423-01, RHSA-2018:2424-01, RHSA-2018:2425-01, RHSA-2018:2669-01, VIGILANCE-VUL-26323.

Description de la vulnérabilité

Une vulnérabilité via RSA Digital Signature Prime Generation de Bouncy Castle a été annoncée.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-7489

jackson-databind : exécution de code via Deserializing

Synthèse de la vulnérabilité

Produits concernés : Debian, Avamar, NetWorker, Unisphere EMC, Oracle Communications, Oracle DB, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Puppet, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/05/2018.
Références : 521680, 521682, 527583, cpujan2019, cpujul2018, cpuoct2018, CVE-2018-7489, DSA-2018-096, DSA-2018-102, DSA-2018-207, DSA-4190-1, RHSA-2018:1447-01, RHSA-2018:1448-01, RHSA-2018:1449-01, RHSA-2018:1450-01, RHSA-2018:1451-01, RHSA-2018:2088-01, RHSA-2018:2089-01, RHSA-2018:2090-01, VIGILANCE-VUL-26043.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Deserializing de jackson-databind, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur JBoss EAP par Red Hat :