L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de MicroFocus Network Node Manager i

avis de vulnérabilité informatique CVE-2007-5333 CVE-2007-5342 CVE-2007-5461

Apache Tomcat 6.0.14/15 : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités affectent Apache Tomcat 6.0.14/15.
Produits concernés : Tomcat, BES, HPE NNMi, Mandriva Linux, openSUSE, Solaris, RHEL, ESX, ESXi, VMware Server, vCenter Server, VirtualCenter.
Gravité : 2/4.
Date création : 11/02/2008.
Références : BID-26070, BID-27006, BID-27703, BID-27706, BID-49470, c03824583, CERTA-2007-AVI-470, CERTA-2007-AVI-569, CERTA-2008-AVI-066, CERTA-2013-AVI-440, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461, CVE-2007-5641-ERROR, CVE-2007-6286, CVE-2008-0002, HPSBMU02894, KB25966, MDVSA-2010:176, RHSA-2008:0524-01, RHSA-2009:1562-01, RHSA-2009:1563-01, RHSA-2010:0602-02, SNS Advisory No.97, SUSE-SR:2008:005, VIGILANCE-VUL-7569, VMSA-2009-0016, VMSA-2009-0016.1, VMSA-2009-0016.2, VMSA-2009-0016.3, VMSA-2009-0016.4, VMSA-2009-0016.5.

Description de la vulnérabilité

Plusieurs vulnérabilités affectent Apache Tomcat 6.0.14/15.

Le patch pour la vulnérabilité VIGILANCE-VUL-7084 était incomplet. [grav:2/4; BID-27706, CERTA-2008-AVI-066, CVE-2007-5333, SNS Advisory No.97]

Une application illicite peut employer JULI afin de modifier certains fichiers (VIGILANCE-VUL-7456). [grav:1/4; BID-27006, CERTA-2007-AVI-569, CVE-2007-5342]

Un attaquant autorisé à accéder en écriture via WebDAV peut lire un fichier du système (VIGILANCE-VUL-7260). [grav:2/4; BID-26070, CERTA-2007-AVI-470, CVE-2007-5461, CVE-2007-5641-ERROR]

Lorsque le connecteur natif (APR) est utilisé, un attaquant peut se connecter sur le port SSL et obtenir les données d'une autre session. [grav:1/4; BID-49470, CVE-2007-6286]

Si le client se déconnecte, les paramètres qu'il a envoyé peuvent être interprétés par la requête suivante. [grav:1/4; BID-27703, CVE-2008-0002]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2007-5333 CVE-2007-5342 CVE-2007-5461

Apache Tomcat 5.5.25 : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités affectent Apache Tomcat 5.5.25.
Produits concernés : Tomcat, BES, Fedora, HPE NNMi, JBoss AS OpenSource, Mandriva Linux, openSUSE, Solaris, RHEL, JBoss EAP par Red Hat, ESX, ESXi, VMware Server, vCenter Server, VirtualCenter.
Gravité : 2/4.
Date création : 11/02/2008.
Références : BID-26070, BID-27006, BID-27706, BID-49470, c03824583, CERTA-2007-AVI-470, CERTA-2007-AVI-569, CERTA-2008-AVI-066, CERTA-2013-AVI-440, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461, CVE-2007-5641-ERROR, CVE-2007-6286, FEDORA-2008-1467, FEDORA-2008-1603, HPSBMU02894, KB25966, MDVSA-2008:188, MDVSA-2009:018, MDVSA-2010:176, RHSA-2008:0042-01, RHSA-2008:0195-01, RHSA-2008:0261-01, RHSA-2008:0524-01, RHSA-2008:0862-02, RHSA-2009:1164-01, RHSA-2009:1454-01, RHSA-2009:1562-01, RHSA-2009:1563-01, RHSA-2009:1616-01, RHSA-2010:0602-02, SNS Advisory No.97, SUSE-SR:2008:005, VIGILANCE-VUL-7568, VMSA-2008-00010.3, VMSA-2009-0016, VMSA-2009-0016.1, VMSA-2009-0016.2, VMSA-2009-0016.3, VMSA-2009-0016.4, VMSA-2009-0016.5.

Description de la vulnérabilité

Plusieurs vulnérabilités affectent Apache Tomcat 5.5.25.

Le patch pour la vulnérabilité VIGILANCE-VUL-7084 était incomplet. [grav:2/4; BID-27706, CERTA-2008-AVI-066, CVE-2007-5333, SNS Advisory No.97]

Une application illicite peut employer JULI afin de modifier certains fichiers (VIGILANCE-VUL-7456). [grav:1/4; BID-27006, CERTA-2007-AVI-569, CVE-2007-5342]

Un attaquant autorisé à accéder en écriture via WebDAV peut lire un fichier du système (VIGILANCE-VUL-7260). [grav:2/4; BID-26070, CERTA-2007-AVI-470, CVE-2007-5461, CVE-2007-5641-ERROR]

Lorsque le connecteur natif (APR) est utilisé, un attaquant peut se connecter sur le port SSL et obtenir les données d'une autre session. [grav:1/4; BID-49470, CVE-2007-6286]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2005-3164 CVE-2007-1355 CVE-2007-2449

Apache Tomcat 4.1.36 : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités affectent Apache Tomcat 4.1.36.
Produits concernés : Tomcat, BES, HPE NNMi, Mandriva Linux, NLD, OES, openSUSE, Solaris, RHEL, SLES, ESX, ESXi, VMware Server, vCenter Server, VirtualCenter.
Gravité : 2/4.
Date création : 11/02/2008.
Références : 239312, BID-24058, BID-24999, BID-25316, BID-26070, BID-27706, c03824583, CERTA-2007-AVI-267, CERTA-2007-AVI-362, CERTA-2007-AVI-470, CERTA-2008-AVI-066, CERTA-2008-AVI-343, CERTA-2011-AVI-221, CERTA-2013-AVI-440, CVE-2005-3164, CVE-2007-1355, CVE-2007-2449, CVE-2007-2450, CVE-2007-3382, CVE-2007-3383, CVE-2007-3385, CVE-2007-5333, CVE-2007-5461, CVE-2007-5641-ERROR, HPSBMU02894, KB25966, MDVSA-2010:176, RHSA-2008:0524-01, RHSA-2009:1562-01, RHSA-2009:1563-01, RHSA-2010:0602-02, SNS Advisory No.97, SUSE-SR:2008:005, SUSE-SR:2008:007, VIGILANCE-VUL-7567, VMSA-2009-0016, VMSA-2009-0016.1, VMSA-2009-0016.2, VMSA-2009-0016.3, VMSA-2009-0016.4, VMSA-2009-0016.5, VU#862600, VU#993544.

Description de la vulnérabilité

Plusieurs vulnérabilités affectent Apache Tomcat 4.1.36.

Deux vulnérabilités des connecteurs HTTP et AJP deprecated permettent à un attaquant d'obtenir des informations (VIGILANCE-VUL-6808). [grav:1/4; CERTA-2008-AVI-343, CVE-2005-3164]

Un attaquant peut employer l'exemple fourni dans la documentation afin de mener une attaque de type Cross Site Scripting (VIGILANCE-VUL-6819). [grav:1/4; BID-24058, CERTA-2007-AVI-362, CVE-2007-1355]

Un attaquant peut mettre en oeuvre deux attaques de type Cross Site Scripting sur Apache Tomcat (VIGILANCE-VUL-6915). [grav:2/4; CERTA-2007-AVI-267, CVE-2007-2449, CVE-2007-2450]

Un attaquant peut obtenir la valeur des cookies de la victime en utilisant des caractères spéciaux (VIGILANCE-VUL-7084). [grav:2/4; BID-25316, CVE-2007-3382, VU#993544]

L'exemple SendMailServlet peut être employé pour provoquer des attaques de type Cross Site Scripting (VIGILANCE-VUL-7083). [grav:1/4; BID-24999, CVE-2007-3383, VU#862600]

Un attaquant peut obtenir la valeur des cookies de la victime en utilisant des caractères spéciaux (VIGILANCE-VUL-7084). [grav:2/4; BID-25316, CERTA-2011-AVI-221, CVE-2007-3385, VU#993544]

Le patch pour la vulnérabilité VIGILANCE-VUL-7084 était incomplet. [grav:2/4; BID-27706, CERTA-2008-AVI-066, CVE-2007-5333, SNS Advisory No.97]

Un attaquant autorisé à accéder en écriture via WebDAV peut lire un fichier du système (VIGILANCE-VUL-7260). [grav:2/4; BID-26070, CERTA-2007-AVI-470, CVE-2007-5461, CVE-2007-5641-ERROR]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2007-1858

Tomcat : Anonymous Cipher autorisé

Synthèse de la vulnérabilité

Par défaut, un client peut établir une session SSL en utilisant un Anonymous Cipher.
Produits concernés : Tomcat, BES, HPE NNMi, NLD, OES, openSUSE, RHEL, SLES.
Gravité : 1/4.
Date création : 10/05/2007.
Références : BID-28482, c03223954, CVE-2007-1858, HPSBMU02744, KB25966, RHSA-2007:0326-01, SSRT100776, SUSE-SR:2008:007, VIGILANCE-VUL-6810.

Description de la vulnérabilité

Lors de l'établissement d'une session SSL, les deux parties choisissent les algorithmes correspondant au niveau de sécurité souhaité. Les algorithmes "Anonymous Cipher" permettent d'établir une session sans certificat, mais sont sensibles à une attaque de type Man-in-the-middle.

La configuration par défaut de Tomcat autorise les Anonymous Cipher.

Si l'administrateur a incorrectement installé le certificat serveur, les sessions SSL s'établissent donc de manière non sécurisée. L'administrateur pourrait alors ne pas se rendre compte de la mauvaise configuration.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur MicroFocus Network Node Manager i :