L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Juniper Junos Space Route Insight

alerte de faille CVE-2015-7236

rpcbind : utilisation de mémoire libérée

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée de rpcbind, afin de mener un déni de service, et éventuellement d'exécuter du code.
Gravité : 2/4.
Date création : 24/09/2015.
Références : CVE-2015-7236, DSA-3366-1, FEDORA-2015-36b145bd37, FEDORA-2015-9eee2fbc78, FreeBSD-SA-15:24.rpcbind, JSA10838, JSA10860, RHSA-2016:0005-01, USN-2756-1, VIGILANCE-VUL-17967.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée de rpcbind, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2015-5600

OpenSSH : contournement de MaxAuthTries via KbdInteractiveDevices

Synthèse de la vulnérabilité

Un attaquant peut contourner la directive MaxAuthTries de OpenSSH, afin de mener une attaque par brute force.
Gravité : 2/4.
Date création : 20/07/2015.
Références : 9010048, bulletinoct2015, CERTFR-2015-AVI-431, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, cpujul2018, CVE-2015-5600, DLA-1500-1, DLA-1500-2, FEDORA-2015-11981, FEDORA-2015-13469, FreeBSD-SA-15:16.openssh, JSA10697, JSA10774, JSA10840, K17113, NTAP-20151106-0001, RHSA-2015:2088-06, RHSA-2016:0466-01, SB10157, SB10164, SOL17113, SUSE-SU-2015:1581-1, SYMSA1337, USN-2710-1, USN-2710-2, VIGILANCE-VUL-17455.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le serveur OpenSSH utilise la directive de configuration MaxAuthTries pour définir le nombre maximal de tentatives d'authentification dans une session.

Le client OpenSSH utilise l'option KbdInteractiveDevices pour définir la liste des méthodes d'authentification.

Cependant, si le client emploie "KbdInteractiveDevices=pam,pam,pam,etc.", le nombre MaxAuthTries est multiplié d'autant. La limite devient alors LoginGraceTime (10 minutes par défaut).

Un attaquant peut donc contourner la directive MaxAuthTries de OpenSSH, afin de mener une attaque par brute force.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de faille CVE-2015-2582 CVE-2015-2611 CVE-2015-2617

Oracle MySQL : multiples vulnérabilités de juillet 2015

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle MySQL ont été annoncées en juillet 2015.
Gravité : 2/4.
Nombre de vulnérabilités dans ce bulletin : 18.
Date création : 15/07/2015.
Références : bulletinapr2016, bulletinapr2017, bulletinjul2016, CERTFR-2015-AVI-304, CERTFR-2015-AVI-431, CERTFR-2016-AVI-300, cpujul2015, CVE-2015-2582, CVE-2015-2611, CVE-2015-2617, CVE-2015-2620, CVE-2015-2639, CVE-2015-2641, CVE-2015-2643, CVE-2015-2648, CVE-2015-2661, CVE-2015-4737, CVE-2015-4752, CVE-2015-4756, CVE-2015-4757, CVE-2015-4761, CVE-2015-4767, CVE-2015-4769, CVE-2015-4771, CVE-2015-4772, DSA-3308-1, FEDORA-2015-12544, FEDORA-2015-12570, FEDORA-2015-13482, JSA10698, openSUSE-SU-2015:1629-1, RHSA-2015:1628-01, RHSA-2015:1629-01, RHSA-2015:1630-01, RHSA-2015:1646-01, RHSA-2015:1647-01, RHSA-2015:1665-01, USN-2674-1, VIGILANCE-VUL-17375.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle MySQL.

Un attaquant peut employer une vulnérabilité de Server : Partition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-2617]

Un attaquant peut employer une vulnérabilité de Server : DML, afin de mener un déni de service. [grav:2/4; CVE-2015-2648]

Un attaquant peut employer une vulnérabilité de Server : DML, afin de mener un déni de service. [grav:2/4; CVE-2015-2611]

Un attaquant peut employer une vulnérabilité de Server : GIS, afin de mener un déni de service. [grav:2/4; CVE-2015-2582]

Un attaquant peut employer une vulnérabilité de Server : I_S, afin de mener un déni de service. [grav:2/4; CVE-2015-4752]

Un attaquant peut employer une vulnérabilité de Server : InnoDB, afin de mener un déni de service. [grav:2/4; CVE-2015-4756]

Un attaquant peut employer une vulnérabilité de Server : Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2015-2643]

Un attaquant peut employer une vulnérabilité de Server : Partition, afin de mener un déni de service. [grav:2/4; CVE-2015-4772]

Un attaquant peut employer une vulnérabilité de Server : Memcached, afin de mener un déni de service. [grav:2/4; CVE-2015-4761]

Un attaquant peut employer une vulnérabilité de Server : Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2015-4757]

Un attaquant peut employer une vulnérabilité de Server : Pluggable Auth, afin d'obtenir des informations. [grav:2/4; CVE-2015-4737]

Un attaquant peut employer une vulnérabilité de Server : RBR, afin de mener un déni de service. [grav:2/4; CVE-2015-4771]

Un attaquant peut employer une vulnérabilité de Server : Security : Firewall, afin de mener un déni de service. [grav:2/4; CVE-2015-4769]

Un attaquant peut employer une vulnérabilité de Server : Security : Firewall, afin d'altérer des informations. [grav:2/4; CVE-2015-2639]

Un attaquant peut employer une vulnérabilité de Server : Security : Privileges, afin d'obtenir des informations. [grav:2/4; CVE-2015-2620]

Un attaquant peut employer une vulnérabilité de Server : Security : Privileges, afin de mener un déni de service. [grav:2/4; CVE-2015-2641]

Un attaquant peut employer une vulnérabilité de Client, afin de mener un déni de service. [grav:1/4; CVE-2015-2661]

Un attaquant peut employer une vulnérabilité de Server : Security : Firewall, afin de mener un déni de service. [grav:1/4; CVE-2015-4767]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de menace informatique CVE-2015-2590 CVE-2015-2596 CVE-2015-2597

Oracle Java : multiples vulnérabilités de juillet 2015

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Java ont été annoncées en juillet 2015.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 25.
Date création : 15/07/2015.
Références : 1963330, 1963331, 1963812, 1964236, 1966040, 1966536, 1967222, 1967498, 1967893, 1968485, 1972455, 206954, 9010041, 9010044, BSA-2016-002, CERTFR-2015-ALE-007, CERTFR-2015-AVI-305, CERTFR-2016-AVI-128, cpujul2015, CVE-2015-2590, CVE-2015-2596, CVE-2015-2597, CVE-2015-2601, CVE-2015-2613, CVE-2015-2619, CVE-2015-2621, CVE-2015-2625, CVE-2015-2627, CVE-2015-2628, CVE-2015-2632, CVE-2015-2637, CVE-2015-2638, CVE-2015-2659, CVE-2015-2664, CVE-2015-2808, CVE-2015-4000, CVE-2015-4729, CVE-2015-4731, CVE-2015-4732, CVE-2015-4733, CVE-2015-4736, CVE-2015-4748, CVE-2015-4749, CVE-2015-4760, DSA-3316-1, DSA-3339-1, ESA-2015-134, FEDORA-2015-11859, FEDORA-2015-11860, JSA10727, NTAP-20150715-0001, NTAP-20151028-0001, openSUSE-SU-2015:1288-1, openSUSE-SU-2015:1289-1, RHSA-2015:1228-01, RHSA-2015:1229-01, RHSA-2015:1230-01, RHSA-2015:1241-01, RHSA-2015:1242-01, RHSA-2015:1243-01, RHSA-2015:1485-01, RHSA-2015:1486-01, RHSA-2015:1488-01, RHSA-2015:1526-01, RHSA-2015:1544-01, SB10139, SOL17079, SOL17169, SOL17170, SOL17171, SOL17173, SUSE-SU-2015:1319-1, SUSE-SU-2015:1320-1, SUSE-SU-2015:1329-1, SUSE-SU-2015:1331-1, SUSE-SU-2015:1345-1, SUSE-SU-2015:1375-1, SUSE-SU-2015:1509-1, SUSE-SU-2015:2166-1, SUSE-SU-2015:2192-1, USN-2696-1, USN-2706-1, VIGILANCE-VUL-17371.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-17558). [grav:3/4; CVE-2015-4760]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2628]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4731]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2590]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4732]

Un attaquant peut employer une vulnérabilité de RMI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4733]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2638]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4736]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4748]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2597]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2664]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; CVE-2015-2632]

Un attaquant peut employer une vulnérabilité de JCE, afin d'obtenir des informations. [grav:2/4; CVE-2015-2601]

Un attaquant peut employer une vulnérabilité de JCE, afin d'obtenir des informations (VIGILANCE-VUL-18168). [grav:2/4; CVE-2015-2613]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations. [grav:2/4; CVE-2015-2621]

Un attaquant peut employer une vulnérabilité de Security, afin de mener un déni de service. [grav:2/4; CVE-2015-2659]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; CVE-2015-2619]

Un attaquant peut contourner les mesures de sécurité dans 2D, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-2637]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'altérer des informations. [grav:2/4; CVE-2015-2596]

Un attaquant peut employer une vulnérabilité de JNDI, afin de mener un déni de service. [grav:2/4; CVE-2015-4749]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-4729]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-4000]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-2808]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations. [grav:1/4; CVE-2015-2627]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir des informations. [grav:1/4; CVE-2015-2625]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de menace CVE-2015-5364 CVE-2015-5366

Noyau Linux : déni de service via UDP

Synthèse de la vulnérabilité

Un attaquant peut envoyer un flot de paquet UDP avec une somme de contrôle incorrecte vers une machine Linux, afin de mener un déni de service.
Gravité : 1/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 01/07/2015.
Références : CERTFR-2015-AVI-311, CERTFR-2015-AVI-318, CERTFR-2015-AVI-331, CERTFR-2015-AVI-352, CERTFR-2015-AVI-357, CERTFR-2015-AVI-391, CERTFR-2017-AVI-012, CVE-2015-5364, CVE-2015-5366, DSA-3313-1, DSA-3329-1, JSA10770, K17307, K17309, openSUSE-SU-2015:1382-1, openSUSE-SU-2016:0301-1, PAN-SA-2016-0025, RHSA-2015:1623-01, RHSA-2015:1778-01, RHSA-2015:1787-01, RHSA-2015:1788-01, RHSA-2016:0045-01, RHSA-2016:1096-01, RHSA-2016:1100-01, RHSA-2016:1225-01, SOL17307, SOL17309, SUSE-SU-2015:1224-1, SUSE-SU-2015:1324-1, SUSE-SU-2015:1478-1, SUSE-SU-2015:1592-1, SUSE-SU-2015:1611-1, USN-2678-1, USN-2680-1, USN-2681-1, USN-2682-1, USN-2683-1, USN-2684-1, USN-2685-1, USN-2713-1, USN-2714-1, VIGILANCE-VUL-17284.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Les paquets UDP ont un champ somme de contrôle, pour vérifier l'intégrité des paquets.

Cependant, la vérification de cette somme se fait un peu tard dans le traitement des paquets, de sorte que sous une forte charge entrante, le noyau passe beaucoup de temps à gérer les files de paquets et plus généralement les structures du noyau, ce qui bloque l'exécution des processus utilisateur.

Un attaquant peut donc envoyer un flot de paquet UDP avec une somme de contrôle incorrecte vers une machine Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

faille CVE-2015-3209

QEMU, Xen : élévation de privilèges via l'émulation de PCNET

Synthèse de la vulnérabilité

Un attaquant peut provoquer un débordement de tampon dans le tas du pilote PCNET de QEMU, afin d'élever ses privilèges sur la machine hôte.
Gravité : 3/4.
Date création : 11/06/2015.
Références : CERTFR-2015-AVI-252, CERTFR-2015-AVI-431, CERTFR-2016-AVI-300, CVE-2015-3209, DSA-3284-1, DSA-3285-1, DSA-3286-1, FEDORA-2015-10001, FEDORA-2015-13402, FEDORA-2015-13404, FEDORA-2015-9965, FEDORA-2015-9978, JSA10698, openSUSE-SU-2015:1092-1, openSUSE-SU-2015:1094-1, RHSA-2015:1087-01, RHSA-2015:1088-01, RHSA-2015:1089-01, RHSA-2015:1189-01, SOL63519101, SUSE-SU-2015:1042-1, SUSE-SU-2015:1045-1, SUSE-SU-2015:1152-1, SUSE-SU-2015:1156-1, SUSE-SU-2015:1157-1, SUSE-SU-2015:1206-1, SUSE-SU-2015:1426-1, SUSE-SU-2015:1519-1, USN-2630-1, VIGILANCE-VUL-17107, XSA-135.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Xen utilise QEMU pour l'émulation de matériel des machines virtuelles.

QEMU contient une émulation de la carte Ethernet PCNET. Cependant, la possibilité pour ce pilote de chainer les trames à envoyer permet de provoquer un débordement de tampon dans le tas. Le noyau invité peut alors modifier un pointeur de routine dans la structure de données décrivant la trame à envoyer et ainsi exécuter un code arbitraire dans la machine hôte avec les privilèges du processus qemu, à savoir typiquement les droits d'administration.

Un attaquant peut donc provoquer un débordement de tampon dans le tas du pilote PCNET de QEMU, afin d'élever ses privilèges sur la machine hôte.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2015-1159

CUPS : Cross Site Scripting des modèles de page

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans des modèles de page de CUPS, afin d'exécuter du code JavaScript dans le contexte du site web.
Gravité : 2/4.
Date création : 10/06/2015.
Références : CERTFR-2015-AVI-431, CVE-2015-1159, DSA-3283-1, FEDORA-2015-9726, FEDORA-2015-9801, JSA10702, openSUSE-SU-2015:1056-1, RHSA-2015:1123-01, SUSE-SU-2015:1041-1, SUSE-SU-2015:1044-1, SUSE-SU-2015:1044-2, USN-2629-1, VIGILANCE-VUL-17100, VU#810572.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit CUPS dispose d'un interface web pour la surveillance et la soumission de travaux d'impression.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans des modèles de page de CUPS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de faille informatique CVE-2015-1158

CUPS : injection de code via l'éditeur de liens dynamique

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux fonctions d'administration de CUPS, afin d'élever ses privilèges.
Gravité : 2/4.
Date création : 08/06/2015.
Date révision : 09/06/2015.
Références : 4609, CERTFR-2015-AVI-431, CVE-2015-1158, DSA-3283-1, FEDORA-2015-9726, FEDORA-2015-9801, JSA10702, openSUSE-SU-2015:1056-1, RHSA-2015:1123-01, SSA:2015-188-01, SUSE-SU-2015:1011-1, SUSE-SU-2015:1041-1, SUSE-SU-2015:1044-1, SUSE-SU-2015:1044-2, USN-2629-1, VIGILANCE-VUL-17079, VU#810572.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

CUPS est un système de gestion d'impression pour environnement Unix.

Il dispose d'une interface Web pour recevoir notamment des requêtes d'impression. Cependant, les requêtes, mal formées, contentant plusieurs attributs "nameWithLanguage" sont mal rejetées. L'erreur permet de remplacer un fichier de configuration, ce qui permet de modifier l'environnement des programmes appelés avec des directives SetEnv et ainsi, via LD_PRELOAD, de faire charger et exécuter du code compilé sous la forme d'une bibliothèque partagée.

Un attaquant peut donc contourner les restrictions d'accès aux fonctions d'administration de CUPS, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de menace informatique CVE-2014-0112 CVE-2014-3569 CVE-2014-7809

Oracle MySQL : multiples vulnérabilités de avril 2015

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle MySQL ont été annoncées en avril 2015.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 26.
Date création : 15/04/2015.
Références : bulletinapr2016, bulletinapr2017, bulletinoct2015, CERTFR-2015-AVI-173, CERTFR-2015-AVI-431, CERTFR-2016-AVI-300, cpuapr2015, cpuoct2016, CVE-2014-0112, CVE-2014-3569, CVE-2014-7809, CVE-2015-0405, CVE-2015-0423, CVE-2015-0433, CVE-2015-0438, CVE-2015-0439, CVE-2015-0441, CVE-2015-0498, CVE-2015-0499, CVE-2015-0500, CVE-2015-0501, CVE-2015-0503, CVE-2015-0505, CVE-2015-0506, CVE-2015-0507, CVE-2015-0508, CVE-2015-0511, CVE-2015-2566, CVE-2015-2567, CVE-2015-2568, CVE-2015-2571, CVE-2015-2573, CVE-2015-2575, CVE-2015-2576, DLA-526-1, DSA-3229-1, DSA-3311-1, DSA-3621-1, JSA10698, MDVSA-2015:227, openSUSE-SU-2015:0967-1, openSUSE-SU-2015:1216-1, openSUSE-SU-2016:2304-1, RHSA-2015:1628-01, RHSA-2015:1629-01, RHSA-2015:1647-01, RHSA-2015:1665-01, SSA:2015-132-01, SSA:2015-132-02, SUSE-SU-2015:0946-1, SUSE-SU-2015:1273-1, USN-2575-1, VIGILANCE-VUL-16614.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle MySQL.

Un attaquant peut employer une vulnérabilité de Service Manager, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0112]

Un attaquant peut employer une vulnérabilité de Service Manager, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-7809]

Un attaquant peut employer une vulnérabilité de Server : Compiling, afin de mener un déni de service. [grav:2/4; CVE-2015-0501]

Un attaquant peut employer une vulnérabilité de Server : Security : Encryption, afin de mener un déni de service. [grav:2/4; CVE-2014-3569]

Un attaquant peut employer une vulnérabilité de Server : Security : Privileges, afin de mener un déni de service. [grav:2/4; CVE-2015-2568]

Un attaquant peut employer une vulnérabilité de Connector/J, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-2575]

Un attaquant peut employer une vulnérabilité de Server : DDL, afin de mener un déni de service. [grav:2/4; CVE-2015-2573]

Un attaquant peut employer une vulnérabilité de Server : Information Schema, afin de mener un déni de service. [grav:2/4; CVE-2015-0500]

Un attaquant peut employer une vulnérabilité de Server : InnoDB, afin de mener un déni de service. [grav:2/4; CVE-2015-0439]

Un attaquant peut employer une vulnérabilité de Server : InnoDB, afin de mener un déni de service. [grav:2/4; CVE-2015-0508]

Un attaquant peut employer une vulnérabilité de Server : InnoDB : DML, afin de mener un déni de service. [grav:2/4; CVE-2015-0433]

Un attaquant peut employer une vulnérabilité de Server : Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2015-0423]

Un attaquant peut employer une vulnérabilité de Server : Optimizer, afin de mener un déni de service. [grav:2/4; CVE-2015-2571]

Un attaquant peut employer une vulnérabilité de Server : Partition, afin de mener un déni de service. [grav:2/4; CVE-2015-0438]

Un attaquant peut employer une vulnérabilité de Server : Partition, afin de mener un déni de service. [grav:2/4; CVE-2015-0503]

Un attaquant peut employer une vulnérabilité de Server : Security : Encryption, afin de mener un déni de service. [grav:2/4; CVE-2015-0441]

Un attaquant peut employer une vulnérabilité de Server : XA, afin de mener un déni de service. [grav:2/4; CVE-2015-0405]

Un attaquant peut employer une vulnérabilité de Server : DDL, afin de mener un déni de service. [grav:2/4; CVE-2015-0505]

Un attaquant peut employer une vulnérabilité de Server : Federated, afin de mener un déni de service. [grav:2/4; CVE-2015-0499]

Un attaquant peut employer une vulnérabilité de Server : InnoDB, afin de mener un déni de service. [grav:2/4; CVE-2015-0506]

Un attaquant peut employer une vulnérabilité de Server : Memcached, afin de mener un déni de service. [grav:2/4; CVE-2015-0507]

Un attaquant peut employer une vulnérabilité de Server : Security : Privileges, afin de mener un déni de service. [grav:2/4; CVE-2015-2567]

Un attaquant peut employer une vulnérabilité de Server : DML, afin de mener un déni de service. [grav:1/4; CVE-2015-2566]

Un attaquant peut employer une vulnérabilité de Server : SP, afin de mener un déni de service. [grav:2/4; CVE-2015-0511]

Un attaquant peut employer une vulnérabilité de Installation, afin d'altérer des informations. [grav:1/4; CVE-2015-2576]

Un attaquant peut employer une vulnérabilité de Server : Replication, afin de mener un déni de service. [grav:1/4; CVE-2015-0498]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte cybersécurité CVE-2015-0286 CVE-2015-0287 CVE-2015-0289

OpenSSL 0.9/1.0.0/1.0.1 : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL 0.9/1.0.0/1.0.1.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 19/03/2015.
Références : 1701334, 1902519, 1960491, 1964410, 1975397, 55767, 7043086, 9010031, ARUBA-PSA-2015-007, bulletinapr2015, c04679334, CERTFR-2015-AVI-117, CERTFR-2015-AVI-146, CERTFR-2015-AVI-169, CERTFR-2015-AVI-177, CERTFR-2015-AVI-259, CERTFR-2016-AVI-303, cisco-sa-20150320-openssl, cisco-sa-20150408-ntpd, cpuapr2017, cpuoct2016, cpuoct2017, CTX216642, CVE-2015-0286, CVE-2015-0287, CVE-2015-0289, CVE-2015-0292, CVE-2015-0293, DSA-3197-1, DSA-3197-2, FEDORA-2015-4300, FEDORA-2015-4303, FG-IR-15-008, FreeBSD-SA-15:06.openssl, HPSBUX03334, JSA10680, MDVSA-2015:062, MDVSA-2015:063, NetBSD-SA2015-007, NTAP-20150323-0002, openSUSE-SU-2015:0554-1, openSUSE-SU-2015:1277-1, openSUSE-SU-2015:2243-1, openSUSE-SU-2016:0638-1, openSUSE-SU-2016:0640-1, RHSA-2015:0715-01, RHSA-2015:0716-01, RHSA-2015:0752-01, RHSA-2015:0800-01, RHSA-2016:0372-01, RHSA-2016:0445-01, RHSA-2016:0446-01, RHSA-2016:0490-01, SA40001, SA92, SB10110, SOL16301, SOL16302, SOL16317, SOL16319, SOL16320, SOL16321, SOL16323, SPL-98351, SPL-98531, SSA:2015-111-09, SSRT102000, SUSE-SU-2015:0541-1, SUSE-SU-2015:0553-1, SUSE-SU-2015:0553-2, SUSE-SU-2015:0578-1, SUSE-SU-2016:0678-1, TNS-2015-04, USN-2537-1, VIGILANCE-VUL-16429.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL 0.9/1.0.0/1.0.1.

Un attaquant peut forcer la lecture à une adresse invalide dans ASN1_TYPE_cmp, afin de mener un déni de service. [grav:2/4; CVE-2015-0286]

Un attaquant peut provoquer une corruption de mémoire dans ASN.1, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0287]

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans PKCS#7, afin de mener un déni de service. [grav:2/4; CVE-2015-0289]

Un attaquant peut provoquer une corruption de mémoire avec des données base64, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0292]

Un attaquant peut provoquer un OPENSSL_assert, afin de mener un déni de service. [grav:2/4; CVE-2015-0293]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Juniper Junos Space Route Insight :