L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de MicroFocus openSUSE

annonce de vulnérabilité CVE-2015-5288 CVE-2015-5289

PostgreSQL : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de PostgreSQL.
Produits concernés : Clearswift Email Gateway, Debian, Fedora, openSUSE, PostgreSQL, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Date création : 08/10/2015.
Références : CERTFR-2015-AVI-433, CVE-2015-5288, CVE-2015-5289, DSA-3374-1, DSA-3475-1, FEDORA-2015-6d2a957a87, openSUSE-SU-2015:1907-1, openSUSE-SU-2015:1919-1, RHSA-2015:2077-01, RHSA-2015:2078-01, RHSA-2015:2081-01, RHSA-2015:2083-01, SUSE-SU-2016:0677-1, USN-2772-1, VIGILANCE-VUL-18062.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans PostgreSQL.

Un attaquant peut provoquer une erreur fatale lors de l'analyse de données json/jsonb, afin de mener un déni de service. [grav:2/4; CVE-2015-5289]

Un attaquant peut lire un fragment de la mémoire via la fonction crypt(), afin d'obtenir des informations sensibles. [grav:1/4; CVE-2015-5288]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2015-6938

IPython : Cross Site Scripting de Foldernames

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans Foldernames de IPython, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : openSUSE.
Gravité : 2/4.
Date création : 08/10/2015.
Références : CVE-2015-6938, openSUSE-SU-2015:1699-1, VIGILANCE-VUL-18060.

Description de la vulnérabilité

Le produit IPython dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans Foldernames de IPython, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2015-5260 CVE-2015-5261

Spice : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Spice.
Produits concernés : Debian, Fedora, openSUSE, RHEL, Ubuntu.
Gravité : 2/4.
Date création : 07/10/2015.
Références : CVE-2015-5260, CVE-2015-5261, DSA-3371-1, FEDORA-2015-7fcc957ba6, openSUSE-SU-2015:1750-1, RHSA-2015:1889-01, RHSA-2015:1890-01, USN-2766-1, VIGILANCE-VUL-18051.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Spice.

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2015-5260]

Un attaquant peut contourner les restrictions d'accès, afin de lire ou modifier des données en mémoire. [grav:2/4; CVE-2015-5261]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2014-9745 CVE-2014-9746 CVE-2014-9747

FreeType : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de FreeType.
Produits concernés : Debian, BIG-IP Hardware, TMOS, openSUSE.
Gravité : 2/4.
Date création : 07/10/2015.
Références : CVE-2014-9745, CVE-2014-9746, CVE-2014-9747, DSA-3370-1, openSUSE-SU-2015:1704-1, SOL52439336, VIGILANCE-VUL-18050.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans FreeType.

Un attaquant peut provoquer une erreur fatale, afin de mener un déni de service. [grav:2/4; CVE-2014-9745]

Un attaquant peut provoquer une erreur fatale, afin de mener un déni de service. [grav:2/4; CVE-2014-9746]

Un attaquant peut provoquer une erreur fatale, afin de mener un déni de service. [grav:2/4; CVE-2014-9747]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2015-7384

Node.js 4 : déni de service via Pipelining

Synthèse de la vulnérabilité

Un attaquant peut utiliser le Pipelining HTTP de Node.js 4, afin de mener un déni de service.
Produits concernés : openSUSE.
Gravité : 3/4.
Date création : 06/10/2015.
Références : CVE-2015-7384, openSUSE-SU-2015:1825-1, VIGILANCE-VUL-18048.

Description de la vulnérabilité

Le produit Node.js 4 implémente le Pipelining HTTP, qui permet de faire transiter plusieurs requêtes dans une seule session.

Cependant, une désynchronisation des requêtes provoque une erreur fatale dans lib/_http_outgoing.js.

Un attaquant peut donc utiliser le Pipelining HTTP de Node.js 4, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2015-7804

PHP : déni de service via phar_make_dirstream

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur invalide dans la fonction phar_make_dirstream() de PHP, afin de mener un déni de service.
Produits concernés : Debian, Fedora, openSUSE, PHP, RHEL, Ubuntu.
Gravité : 1/4.
Date création : 05/10/2015.
Références : 70433, CVE-2015-7804, DSA-3380-1, FEDORA-2015-366f3dd73f, FEDORA-2015-b24a52fc97, openSUSE-SU-2016:0251-1, RHSA-2016:0457-01, USN-2786-1, VIGILANCE-VUL-18041.

Description de la vulnérabilité

L'extension phar peut être installée sur PHP.

Cependant, une lorsque la fonction phar_make_dirstream() traite une archive ZIP contenant le fichier "/", elle ne vérifie pas si un pointeur est valide, avant de l'utiliser.

Un attaquant peut donc forcer le déréférencement d'un pointeur invalide dans la fonction phar_make_dirstream() de PHP, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2015-7803

PHP : déréférencement de pointeur NULL via phar_get_fp_offset

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans la fonction phar_get_fp_offset() de PHP, afin de mener un déni de service.
Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap, PHP, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Date création : 02/10/2015.
Références : 69720, CVE-2015-7803, DSA-3380-1, FEDORA-2015-366f3dd73f, FEDORA-2015-b24a52fc97, openSUSE-SU-2016:0251-1, openSUSE-SU-2016:0366-1, RHSA-2016:0457-01, SUSE-SU-2016:1145-1, SUSE-SU-2016:1581-1, SUSE-SU-2016:1638-1, USN-2786-1, VIGILANCE-VUL-18020.

Description de la vulnérabilité

L'extension phar peut être installée sur PHP.

Cependant, une lorsque la fonction phar_get_fp_offset() traite une archive ZIP spéciale, elle ne vérifie pas si un pointeur est NULL, avant de l'utiliser.

Un attaquant peut donc forcer le déréférencement d'un pointeur NULL dans la fonction phar_get_fp_offset() de PHP, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2015-1303 CVE-2015-1304

Google Chrome : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Date création : 25/09/2015.
Références : CERTFR-2015-AVI-409, CVE-2015-1303, CVE-2015-1304, DSA-3376-1, openSUSE-SU-2015:1719-1, openSUSE-SU-2015:1867-1, openSUSE-SU-2015:1872-1, openSUSE-SU-2015:1873-1, openSUSE-SU-2015:1876-1, openSUSE-SU-2015:1877-1, openSUSE-SU-2015:1887-1, RHSA-2015:1841-01, USN-2757-1, VIGILANCE-VUL-17983.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut utiliser DOM, afin d'exécuter du code JavaScript dans le contexte d'un autre site web. [grav:2/4; CVE-2015-1303]

Un attaquant peut utiliser V8, afin d'exécuter du code JavaScript dans le contexte d'un autre site web. [grav:2/4; CVE-2015-1304]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2015-7311

Xen : écriture sur disque en lecture seule via libxl

Synthèse de la vulnérabilité

Un attaquant, qui est administrateur dans un système invité, configuré avec qemu-xen et libxl, peut écrire sur les images disques du système hôte, même s'ils sont marqués en lecture-seule.
Produits concernés : Debian, openSUSE, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Xen.
Gravité : 2/4.
Date création : 22/09/2015.
Références : CERTFR-2015-AVI-406, CVE-2015-7311, DSA-3414-1, openSUSE-SU-2015:1964-1, openSUSE-SU-2015:2003-1, openSUSE-SU-2015:2249-1, openSUSE-SU-2015:2250-1, openSUSE-SU-2016:0124-1, SUSE-SU-2015:1853-1, SUSE-SU-2015:1894-1, SUSE-SU-2015:1908-1, VIGILANCE-VUL-17952, XSA-142.

Description de la vulnérabilité

Le produit Xen peut être configuré avec qemu-xen (et non qemu-xen-traditional), et utiliser les outils liés à libxl.

Cependant, dans cette configuration, un disque ne peut pas être monté en lecture seule, mais libxl ne l'indique pas.

Un attaquant, qui est administrateur dans un système invité, configuré avec qemu-xen et libxl, peut donc écrire sur les images disques du système hôte, même s'ils sont marqués en lecture-seule.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2015-0219 CVE-2015-0220 CVE-2015-0221

Django : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Django.
Produits concernés : Debian, Fedora, MBS, openSUSE, Ubuntu.
Gravité : 2/4.
Date création : 22/09/2015.
Références : CVE-2015-0219, CVE-2015-0220, CVE-2015-0221, CVE-2015-0222, DSA-3151-1, FEDORA-2015-0714, FEDORA-2015-0790, FEDORA-2015-0804, MDVSA-2015:036, MDVSA-2015:109, openSUSE-SU-2015:0643-1, openSUSE-SU-2015:1598-1, USN-2469-1, USN-2469-2, VIGILANCE-VUL-17951.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Django.

Un attaquant peut contourner les mesures de sécurité, afin d'élever ses privilèges. [grav:2/4; CVE-2015-0219]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-0220]

Un attaquant peut provoquer une erreur fatale, afin de mener un déni de service. [grav:1/4; CVE-2015-0221]

Un attaquant peut provoquer une erreur fatale, afin de mener un déni de service. [grav:1/4; CVE-2015-0222]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur MicroFocus openSUSE :