L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Mandrake Linux

annonce de vulnérabilité informatique CVE-2011-4599

ICU : buffer overflow de _canonicalize

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, WebSphere MQ, MES, Mandriva Linux, openSUSE, Solaris, RHEL, SUSE Linux Enterprise Desktop.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/03/2016.
Références : 1975091, CVE-2011-4599, DSA-2397-1, FEDORA-2011-17101, FEDORA-2011-17119, MDVSA-2011:194, openSUSE-SU-2012:0100-1, RHSA-2011:1815-01, SUSE-SU-2012:0457-1, SUSE-SU-2012:0481-1, VIGILANCE-VUL-19177.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow dans _canonicalize de ICU, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2010-3856

glibc : élevation de privilèges via LD_AUDIT et constructeur

Synthèse de la vulnérabilité

Un attaquant local peut employer la variable LD_AUDIT et le constructeur d'une bibliothèque système, pour obtenir les privilèges des programmes suid ou sgid.
Produits concernés : Debian, Fedora, MES, Mandriva Linux, openSUSE, RHEL, Slackware, SLES, ESX.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/10/2010.
Date révision : 07/11/2014.
Références : BID-44347, CERTA-2002-AVI-272, CVE-2010-3856, DSA-2122-1, DSA-2122-2, FEDORA-2010-16641, FEDORA-2010-16655, FEDORA-2010-16851, MDVSA-2010:212, openSUSE-SU-2010:0912-1, openSUSE-SU-2010:0913-1, openSUSE-SU-2010:0914-1, RHSA-2010:0793-01, RHSA-2010:0872-02, SSA:2010-301-01, SUSE-SA:2010:052, VIGILANCE-VUL-10068, VMSA-0001.3, VMSA-2011-0001, VMSA-2011-0001.1, VMSA-2011-0001.2, VMSA-2011-0001.3.

Description de la vulnérabilité

Le programme glibc/ld.so charge dynamiquement des bibliothèques.

La variable d'environnement LD_AUDIT indique une liste d'objets, correspondant à l'interface Link-Auditing, que ld.so doit charger.

Lorsqu'un programme est suid ou sgid, les bibliothèques indiquées dans LD_AUDIT sont chargées uniquement si elles sont situées dans un répertoire système (comme /lib).

Cependant, les constructeurs de certaines bibliothèques sous /lib n'ont pas été conçus de manière sécurisée. Par exemple, le constructeur de /lib/libpcprofile.so (installé avec le paquetage glibc) accepte de créer un fichier dont le nom est indiqué dans la variable PCPROFILE_OUTPUT.

Un attaquant local peut donc employer la variable LD_AUDIT et le constructeur de libpcprofile.so, pour créer un fichier avec les droits d'un programme suid/sgid, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2013-1635 CVE-2013-1643

PHP : accès fichier via SOAP

Synthèse de la vulnérabilité

Un attaquant peut employer deux vulnérabilités de la fonctionnalité SOAP de PHP, afin de lire ou d'écrire dans un fichier.
Produits concernés : Debian, Fedora, MBS, MES, Mandriva Linux, openSUSE, Solaris, PHP, RHEL, Slackware, SLES.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/02/2013.
Références : BID-58224, BID-58766, CERTFR-2014-AVI-244, CVE-2013-1635, CVE-2013-1643, DSA-2639-1, FEDORA-2013-3891, FEDORA-2013-3927, MDVSA-2013:016, MDVSA-2013:114, openSUSE-SU-2013:1244-1, openSUSE-SU-2013:1249-1, RHSA-2013:1307-01, RHSA-2013:1615-02, RHSA-2013:1814-01, SSA:2013-081-01, SUSE-SU-2013:1285-1, SUSE-SU-2013:1285-2, SUSE-SU-2013:1317-1, SUSE-SU-2013:1351-1, VIGILANCE-VUL-12475.

Description de la vulnérabilité

La fonctionnalité SOAP (Simple Object Access Protocol) permet d'appeler des méthodes sur des objets. L'interpréteur PHP implémente SOAP, cependant, cette implémentation comporte deux vulnérabilités.

Un attaquant peut modifier la directive soap.wsdl_cache_dir, afin de créer un fichier hors du répertoire open_basedir. [grav:2/4; CVE-2013-1635]

Un attaquant peut employer une entité XML externe, afin de lire un fichier du serveur. [grav:2/4; CVE-2013-1643]

Un attaquant peut donc employer deux vulnérabilités de la fonctionnalité SOAP de PHP, afin de lire ou d'écrire dans un fichier.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2012-4558

Apache httpd : Cross Site Scripting de mod_proxy_balancer

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans Apache httpd mod_proxy_balancer, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Apache httpd, Debian, Fedora, NSMXpress, MBS, MES, Mandriva Linux, openSUSE, Solaris, RHEL, JBoss EAP par Red Hat, Slackware.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/02/2013.
Références : BID-58165, CERTA-2013-AVI-153, CERTA-2013-AVI-387, CERTFR-2014-AVI-112, CERTFR-2015-AVI-286, CVE-2012-4558, DSA-2637-1, FEDORA-2013-4541, JSA10685, MDVSA-2013:015, MDVSA-2013:015-1, openSUSE-SU-2013:0629-1, openSUSE-SU-2013:0632-1, RHSA-2013:0815-01, RHSA-2013:1012-01, RHSA-2013:1013-01, RHSA-2013:1207-01, RHSA-2013:1208-01, RHSA-2013:1209-01, SSA:2013-062-01, VIGILANCE-VUL-12458.

Description de la vulnérabilité

Le module Apache httpd mod_proxy_balancer permet de balancer la charge entre plusieurs services mod_proxy.

Cependant, l'interface de management de ce module ne valide pas correctement les données reçues avant de les afficher dans le document web généré.

Un attaquant peut donc provoquer un Cross Site Scripting dans Apache httpd mod_proxy_balancer, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2012-3499

Apache httpd : Cross Site Scripting de modules

Synthèse de la vulnérabilité

Un attaquant peut provoquer plusieurs Cross Site Scripting dans les modules mod_info, mod_status, mod_imagemap, mod_ldap et mod_proxy_ftp, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Apache httpd, Debian, Fedora, HP-UX, NSMXpress, MBS, MES, Mandriva Linux, openSUSE, Solaris, Trusted Solaris, RHEL, JBoss EAP par Red Hat, Slackware.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/02/2013.
Références : BID-58165, c03734195, CERTA-2013-AVI-153, CERTA-2013-AVI-387, CERTA-2013-AVI-543, CERTA-2013-AVI-590, CERTFR-2014-AVI-112, CERTFR-2014-AVI-244, CERTFR-2015-AVI-286, CVE-2012-3499, DSA-2637-1, FEDORA-2013-4541, HPSBUX02866, JSA10685, MDVSA-2013:015, MDVSA-2013:015-1, openSUSE-SU-2013:0629-1, openSUSE-SU-2013:0632-1, RHSA-2013:0815-01, RHSA-2013:1012-01, RHSA-2013:1013-01, RHSA-2013:1207-01, RHSA-2013:1208-01, RHSA-2013:1209-01, SSA:2013-062-01, SSRT101139, VIGILANCE-VUL-12457.

Description de la vulnérabilité

Le service Apache httpd peut utiliser plusieurs modules.

Cependant, les modules mod_info, mod_status, mod_imagemap, mod_ldap et mod_proxy_ftp ne valident pas correctement les données reçues avant de les afficher dans le document web généré.

Un attaquant peut donc provoquer plusieurs Cross Site Scripting dans les modules mod_info, mod_status, mod_imagemap, mod_ldap et mod_proxy_ftp, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-0169 CVE-2013-1484 CVE-2013-1485

Oracle JRE, JDK : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle JRE et JDK permettent à une applet/application illicite d'exécuter du code ou d'obtenir des informations. Une applet/application légitime, manipulant des données illicites, peut aussi être forcée à exécuter du code.
Produits concernés : Fedora, HP-UX, Domino, Notes, IRAD, Tivoli System Automation, WebSphere AS Traditional, WebSphere MQ, MBS, MES, Mandriva Linux, ePO, Java OpenJDK, openSUSE, Java Oracle, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/02/2013.
Références : BID-57778, BID-58027, BID-58028, BID-58029, BID-58031, c03714148, c03735640, CERTA-2013-AVI-142, CVE-2013-0169, CVE-2013-1484, CVE-2013-1485, CVE-2013-1486, CVE-2013-1487, FEDORA-2013-2764, FEDORA-2013-2813, HPSBUX02857, HPSBUX02867, IC90659, javacpufeb2013update, KLYH95CMCJ, MDVSA-2013:014, MDVSA-2013:095, openSUSE-SU-2013:0375-1, openSUSE-SU-2013:0378-1, RHSA-2013:0273-01, RHSA-2013:0274-01, RHSA-2013:0275-01, RHSA-2013:0531-01, RHSA-2013:0532-01, RHSA-2013:0624-01, RHSA-2013:0625-01, RHSA-2013:0626-01, RHSA-2013:1455-01, RHSA-2013:1456-01, SB10041, SSRT101103, SUSE-SU-2013:0328-1, SUSE-SU-2013:0440-1, SUSE-SU-2013:0440-4, SUSE-SU-2013:0440-6, SUSE-SU-2013:0456-1, SUSE-SU-2013:0456-2, SUSE-SU-2013:0456-3, SUSE-SU-2013:0456-4, SUSE-SU-2013:0701-2, swg21627634, swg21633311, swg21633669, swg21633674, swg21644918, swg21645096, swg21645100, VIGILANCE-VUL-12437, ZDI-13-040, ZDI-13-041, ZDI-13-042.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle JRE et JDK. Les plus graves de ces vulnérabilités conduisent à l'exécution de code.

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-58031, CVE-2013-1487]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-58029, CVE-2013-1486]

Un attaquant peut employer une vulnérabilité de Proxy.newProxyInstance et setUncaughtExceptionHandler, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-58027, CVE-2013-1484, ZDI-13-040, ZDI-13-042]

Un attaquant peut employer une vulnérabilité de doPrivilegedWithCombiner, afin d'altérer des informations. [grav:2/4; BID-58028, CVE-2013-1485, ZDI-13-041]

Un attaquant peut injecter des messages chiffrés erronés dans une session TLS/DTLS en mode CBC, et mesurer le temps nécessaire à la génération du message d'erreur, afin de progressivement déterminer le contenu en clair de la session (VIGILANCE-VUL-12374). [grav:1/4; BID-57778, CVE-2013-0169]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2013-0255

PostgreSQL : déni de service via enum_recv

Synthèse de la vulnérabilité

Un attaquant authentifié peut appeler enum_recv, afin de lire la mémoire de PostgreSQL, ou de le stopper.
Produits concernés : Debian, Fedora, MBS, MES, Mandriva Linux, openSUSE, Solaris, PostgreSQL, RHEL.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/02/2013.
Références : 907892, BID-57844, CERTA-2013-AVI-103, CVE-2013-0255, DSA-2630-1, FEDORA-2013-2123, FEDORA-2013-2152, MDVSA-2013:012, MDVSA-2013:142, openSUSE-SU-2013:0318-1, openSUSE-SU-2013:0319-1, RHSA-2013:1475-01, VIGILANCE-VUL-12390.

Description de la vulnérabilité

PostgreSQL supporte les types énumérés. Par exemple :
  CREATE TYPE couleur AS ENUM ('rouge', 'vert', 'bleu');

La fonction enum_recv permet de lire un énuméré. Cependant, elle n'est pas déclarée correctement, et peut aller lire hors d'un tableau.

Un attaquant authentifié peut donc appeler enum_recv, afin de lire la mémoire de PostgreSQL, ou de le stopper.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2013-0169 CVE-2013-1619 CVE-2013-1620

TLS, DTLS : obtention d'information en mode CBC, Lucky 13

Synthèse de la vulnérabilité

Un attaquant peut injecter des messages chiffrés erronés dans une session TLS/DTLS en mode CBC, et mesurer le temps nécessaire à la génération du message d'erreur, afin de progressivement déterminer le contenu en clair de la session.
Produits concernés : Bouncy Castle JCE, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, DB2 UDB, Tivoli Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere MQ, Juniper J-Series, Junos OS, Junos Space, NSM Central Manager, NSMXpress, MBS, MES, Mandriva Linux, McAfee Email and Web Security, ePO, MySQL Enterprise, NetScreen Firewall, ScreenOS, Java OpenJDK, OpenSSL, openSUSE, openSUSE Leap, Opera, Java Oracle, Solaris, pfSense, SSL (protocole), RHEL, JBoss EAP par Red Hat, Slackware, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif, ESX, ESXi, vCenter Server, VMware vSphere, VMware vSphere Hypervisor.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : LAN.
Confiance : confirmé par l'éditeur (5/5).
Date création : 05/02/2013.
Références : 1639354, 1643316, 1672363, BID-57736, BID-57774, BID-57776, BID-57777, BID-57778, BID-57780, BID-57781, c03710522, c03883001, CERTA-2013-AVI-099, CERTA-2013-AVI-109, CERTA-2013-AVI-339, CERTA-2013-AVI-454, CERTA-2013-AVI-543, CERTA-2013-AVI-657, CERTFR-2014-AVI-112, CERTFR-2014-AVI-244, CERTFR-2014-AVI-286, CVE-2013-0169, CVE-2013-1619, CVE-2013-1620, CVE-2013-1621, CVE-2013-1622-REJECT, CVE-2013-1623, CVE-2013-1624, DLA-1518-1, DSA-2621-1, DSA-2622-1, ESX400-201310001, ESX400-201310401-SG, ESX400-201310402-SG, ESX410-201307001, ESX410-201307401-SG, ESX410-201307403-SG, ESX410-201307404-SG, ESX410-201307405-SG, ESX410-201312001, ESX410-201312401-SG, ESX410-201312403-SG, ESXi410-201307001, ESXi410-201307401-SG, ESXi510-201401101-SG, FEDORA-2013-2110, FEDORA-2013-2128, FEDORA-2013-2764, FEDORA-2013-2793, FEDORA-2013-2813, FEDORA-2013-2834, FEDORA-2013-2892, FEDORA-2013-2929, FEDORA-2013-2984, FEDORA-2013-3079, FEDORA-2013-4403, FreeBSD-SA-13:03.openssl, GNUTLS-SA-2013-1, HPSBUX02856, HPSBUX02909, IC90385, IC90395, IC90396, IC90397, IC90660, IC93077, JSA10575, JSA10580, JSA10759, Lucky 13, MDVSA-2013:014, MDVSA-2013:018, MDVSA-2013:019, MDVSA-2013:040, MDVSA-2013:050, MDVSA-2013:052, openSUSE-SU-2013:0336-1, openSUSE-SU-2013:0337-1, openSUSE-SU-2013:0339-1, openSUSE-SU-2013:0807-1, openSUSE-SU-2016:0640-1, RHSA-2013:0273-01, RHSA-2013:0274-01, RHSA-2013:0275-01, RHSA-2013:0531-01, RHSA-2013:0532-01, RHSA-2013:0587-01, RHSA-2013:0588-01, RHSA-2013:0636-01, RHSA-2013:0782-01, RHSA-2013:0783-01, RHSA-2013:0833-01, RHSA-2013:0834-02, RHSA-2013:0839-02, RHSA-2013:1135-01, RHSA-2013:1144-01, RHSA-2013:1181-01, RHSA-2013:1455-01, RHSA-2013:1456-01, RHSA-2014:0371-01, RHSA-2014:0372-01, RHSA-2014:0896-01, RHSA-2015:1009, SOL14190, SOL15630, SSA:2013-040-01, SSA:2013-042-01, SSA:2013-242-01, SSA:2013-242-03, SSA:2013-287-03, SSRT101104, SSRT101289, SUSE-SU-2013:0328-1, SUSE-SU-2014:0320-1, SUSE-SU-2014:0322-1, swg21633669, swg21638270, swg21639354, swg21640169, VIGILANCE-VUL-12374, VMSA-2013-0006.1, VMSA-2013-0007.1, VMSA-2013-0009, VMSA-2013-0009.1, VMSA-2013-0009.2, VMSA-2013-0009.3, VMSA-2013-0015.

Description de la vulnérabilité

Le protocole TLS utilise un algorithme de chiffrement par blocs. En mode CBC (Cipher Block Chaining), le chiffrement dépend du bloc précédent.

Lorsqu'un message chiffré incorrect est reçu, un message d'erreur fatale est renvoyé vers l'expéditeur. Cependant, le temps de génération de ce message d'erreur dépend du nombre d'octets valides, utilisé par un haché MAC.

Un attaquant peut donc injecter des messages chiffrés erronés dans une session TLS/DTLS en mode CBC, et mesurer le temps nécessaire à la génération du message d'erreur, afin de progressivement déterminer le contenu en clair de la session.

Il faut 2^23 sessions TLS pour retrouver un bloc en clair. Pour mener l'attaque, le client TLS doit alors continuer en permanence à ouvrir une nouvelle session, dès que la précédente s'est terminée en erreur fatale.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2011-0418

FreeBSD, NetBSD, pure-ftpd : déni de service via glob

Synthèse de la vulnérabilité

Un attaquant peut employer un chemin spécial, afin de forcer le système à consommer de nombreuses ressources mémoire.
Produits concernés : Fedora, FreeBSD, Mandriva Corporate, MES, Mandriva Linux, NetBSD.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/05/2011.
Date révision : 04/02/2013.
Références : BID-47671, CVE-2011-0418, FEDORA-2011-7374, FEDORA-2011-7434, MDVSA-2011:094, VIGILANCE-VUL-10611.

Description de la vulnérabilité

La fonction glob() de la libc/glibc permet de rechercher tous les chemins d'accès correspondant à un motif. L'extension GLOB_BRACE permet d'utiliser une syntaxe avec des accolades pour chercher "ab" et "ac" :
  glob ("a{b,c}", GLOB_BRACE|GLOB_LIMIT, NULL, &result)

La macro GLOB_LIMIT limite le nombre de résultats, afin de protéger une application contre les dénis de service. Elle est par exemple utilisée par les serveurs FTP.

Cependant, si la requête utilise GLOB_BRACE et est complexe, la macro GLOB_LIMIT est inefficace.

Un attaquant peut donc employer un chemin spécial, afin de forcer le système à consommer de nombreuses ressources mémoire. Comme un biais d'attaque, il peut par exemple se servir d'un serveur FTP installé sur la machine.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2012-1541 CVE-2012-1543 CVE-2012-3213

Oracle JRE, JDK, JavaFX : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle JRE, JDK et JavaFX permettent à une applet/application illicite d'exécuter du code ou d'obtenir des informations. Une applet/application légitime, manipulant des données illicites, peut aussi être forcée à exécuter du code.
Produits concernés : Fedora, HP-UX, IRAD, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, MBS, MES, Mandriva Linux, Java OpenJDK, openSUSE, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/02/2013.
Références : 1677352, BID-57670, BID-57681, BID-57682, BID-57683, BID-57684, BID-57685, BID-57686, BID-57687, BID-57688, BID-57689, BID-57690, BID-57691, BID-57692, BID-57693, BID-57694, BID-57695, BID-57696, BID-57697, BID-57699, BID-57700, BID-57701, BID-57702, BID-57703, BID-57704, BID-57705, BID-57706, BID-57707, BID-57708, BID-57709, BID-57710, BID-57711, BID-57712, BID-57713, BID-57714, BID-57715, BID-57716, BID-57717, BID-57718, BID-57719, BID-57720, BID-57721, BID-57722, BID-57723, BID-57724, BID-57725, BID-57726, BID-57727, BID-57728, BID-57729, BID-57730, BID-57731, c03714148, c03725347, c03735640, CERTA-2013-AVI-092, CVE-2012-1541, CVE-2012-1543, CVE-2012-3213, CVE-2012-3342, CVE-2012-4301, CVE-2012-4305, CVE-2013-0351, CVE-2013-0409, CVE-2013-0419, CVE-2013-0423, CVE-2013-0424, CVE-2013-0425, CVE-2013-0426, CVE-2013-0427, CVE-2013-0428, CVE-2013-0429, CVE-2013-0430, CVE-2013-0431, CVE-2013-0432, CVE-2013-0433, CVE-2013-0434, CVE-2013-0435, CVE-2013-0436, CVE-2013-0437, CVE-2013-0438, CVE-2013-0439, CVE-2013-0440, CVE-2013-0441, CVE-2013-0442, CVE-2013-0443, CVE-2013-0444, CVE-2013-0445, CVE-2013-0446, CVE-2013-0447, CVE-2013-0448, CVE-2013-0449, CVE-2013-0450, CVE-2013-1472, CVE-2013-1473, CVE-2013-1474, CVE-2013-1475, CVE-2013-1476, CVE-2013-1477, CVE-2013-1478, CVE-2013-1479, CVE-2013-1480, CVE-2013-1481, CVE-2013-1482, CVE-2013-1483, CVE-2013-1489, FEDORA-2013-1898, FEDORA-2013-2188, FEDORA-2013-2197, FEDORA-2013-2205, FEDORA-2013-2209, HPSBUX02857, HPSBUX02864, HPSBUX02867, IC90659, javacpufeb2013, MDVSA-2013:010, MDVSA-2013:095, openSUSE-SU-2013:0308-1, openSUSE-SU-2013:0312-1, openSUSE-SU-2013:0377-1, RHSA-2013:0236-01, RHSA-2013:0237-01, RHSA-2013:0245-01, RHSA-2013:0246-01, RHSA-2013:0247-01, RHSA-2013:0624-01, RHSA-2013:0625-01, RHSA-2013:0626-01, RHSA-2013:1455-01, RHSA-2013:1456-01, SE-2012-01, SSRT101103, SSRT101156, SUSE-SU-2013:0315-1, SUSE-SU-2013:0440-1, SUSE-SU-2013:0440-2, SUSE-SU-2013:0440-3, SUSE-SU-2013:0440-4, SUSE-SU-2013:0440-6, SUSE-SU-2013:0456-1, SUSE-SU-2013:0456-2, SUSE-SU-2013:0456-3, SUSE-SU-2013:0456-4, swg21627634, swg21633311, swg21633669, swg21633674, swg21645096, swg21645100, VIGILANCE-VUL-12368, VU#858729, ZDI-13-010, ZDI-13-011, ZDI-13-012, ZDI-13-013, ZDI-13-022, ZDI-13-023.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle JRE, JDK et JavaFX. Les plus graves de ces vulnérabilités conduisent à l'exécution de code.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57681, CVE-2013-0437]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57686, CVE-2013-1478]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57687, CVE-2013-0442]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57689, CVE-2013-0445]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57691, CVE-2013-1480, ZDI-13-022]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57692, CVE-2013-0441]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57694, CVE-2013-1475]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57696, CVE-2013-1476]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57697, CVE-2012-1541]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57699, CVE-2013-0446]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57700, CVE-2012-3342]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57703, CVE-2013-0450]

Un attaquant peut employer une vulnérabilité de JavaFX D3DRendererDelegate, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57706, CVE-2013-1479, ZDI-13-023]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57709, CVE-2013-0425]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57711, CVE-2013-0426]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57713, CVE-2013-0428]

Un attaquant peut employer une vulnérabilité de Scripting NativeJavaConstructor, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57717, CVE-2012-3213, ZDI-13-011]

Un attaquant peut employer une vulnérabilité de Sound PV_ProcessSampleWithSMOD, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57718, CVE-2013-1481, ZDI-13-010]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57721, CVE-2013-0436]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57725, CVE-2013-0439]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57682, CVE-2013-0447]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57683, CVE-2013-1472]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57684, CVE-2012-4301]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57685, CVE-2013-1477]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57688, CVE-2013-1482]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57693, CVE-2013-1483]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57690, CVE-2013-1474]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57695, CVE-2012-4305]

Un attaquant peut employer une vulnérabilité de Beans, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57701, CVE-2013-0444]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57710, CVE-2013-0429]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57714, CVE-2013-0419]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57716, CVE-2013-0423]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57705, CVE-2012-1543, ZDI-13-012, ZDI-13-013]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57720, CVE-2013-0351]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-57722, CVE-2013-0430]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir ou d'altérer des informations. [grav:3/4; BID-57727, CVE-2013-0432]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations. [grav:2/4; BID-57704, CVE-2013-0449]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; BID-57731, CVE-2013-1473]

Un attaquant peut employer une vulnérabilité de JAX-WS, afin d'obtenir des informations. [grav:2/4; BID-57729, CVE-2013-0435]

Un attaquant peut employer une vulnérabilité de JAXP, afin d'obtenir des informations. [grav:2/4; BID-57730, CVE-2013-0434]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations. [grav:2/4; BID-57728, CVE-2013-0409]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations. [grav:2/4; BID-57726, CVE-2013-0431]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'altérer des informations. [grav:2/4; BID-57724, CVE-2013-0427]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'altérer des informations. [grav:2/4; BID-57723, CVE-2013-0448]

Un attaquant peut employer une vulnérabilité de Networking, afin d'altérer des informations. [grav:2/4; BID-57719, CVE-2013-0433]

Un attaquant peut employer une vulnérabilité de RMI, afin d'altérer des informations. [grav:2/4; BID-57715, CVE-2013-0424]

Un attaquant peut employer une vulnérabilité de JSSE, afin de mener un déni de service. [grav:2/4; BID-57712, CVE-2013-0440]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations. [grav:2/4; BID-57708, CVE-2013-0438]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-57702, CVE-2013-0443]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:1/4; BID-57707, CVE-2013-1489, SE-2012-01]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.