L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft Exchange Server

avis de vulnérabilité informatique CVE-2015-4808 CVE-2015-6013 CVE-2015-6014

Oracle Outside In Technology : multiples vulnérabilités de janvier 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Outside In Technology.
Produits concernés : GroupShield, McAfee Security for Email Servers, Exchange, Oracle OIT.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/01/2016.
Références : cpujan2016, CVE-2015-4808, CVE-2015-6013, CVE-2015-6014, CVE-2015-6015, CVE-2016-0432, VIGILANCE-VUL-18759, VU#916896.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Outside In Technology.

Un attaquant peut employer une vulnérabilité de Filters, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4808]

Un attaquant peut employer une vulnérabilité de Filters, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-6013]

Un attaquant peut employer une vulnérabilité de Filters, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-6014]

Un attaquant peut employer une vulnérabilité de Filters, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-6015]

Un attaquant peut employer une vulnérabilité de Filters, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-0432]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2016-0029 CVE-2016-0030 CVE-2016-0031

Microsoft Exchange : quatre vulnérabilités de Spoofing

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Spoofing de Microsoft Exchange.
Produits concernés : Exchange.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/01/2016.
Références : 3124557, CERTFR-2016-AVI-015, CVE-2016-0029, CVE-2016-0030, CVE-2016-0031, CVE-2016-0032, MS16-010, VIGILANCE-VUL-18705.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Exchange Outlook Web Access.

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-0029]

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-0030]

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-0031]

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-0032]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2015-2505 CVE-2015-2543 CVE-2015-2544

Microsoft Exchange : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Exchange.
Produits concernés : Exchange.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 08/09/2015.
Références : 3089250, CERTFR-2015-AVI-376, CVE-2015-2505, CVE-2015-2543, CVE-2015-2544, MS15-103, VIGILANCE-VUL-17850.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Exchange.

Un attaquant peut contourner les mesures de sécurité, afin d'obtenir des informations sensibles dans le Stack Trace. [grav:2/4; CVE-2015-2505]

Un attaquant peut inviter la victime à cliquer sur un lien, afin d'usurper un email. [grav:2/4; CVE-2015-2543]

Un attaquant peut inviter la victime à cliquer sur un lien, afin d'usurper un email. [grav:2/4; CVE-2015-2544]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2015-1764 CVE-2015-1771 CVE-2015-2359

Microsoft Exchange : trois vulnérabilités de l'interface Web

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Web de Microsoft Exchange.
Produits concernés : Exchange.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/06/2015.
Références : 3062157, CERTFR-2015-AVI-251, CVE-2015-1764, CVE-2015-1771, CVE-2015-2359, MS15-064, VIGILANCE-VUL-17096.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Exchange.

Un attaquant peut manipuler Exchange, afin de lui faire exécuter des requêtes HTTP arbitraires. [grav:3/4; CVE-2015-1764]

Un attaquant peut provoquer un Cross Site Request Forgery, afin de forcer la victime à effectuer des opérations. [grav:3/4; CVE-2015-1771]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:3/4; CVE-2015-2359]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2015-1628 CVE-2015-1629 CVE-2015-1630

Microsoft Exchange 2013 : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Exchange 2013.
Produits concernés : Exchange.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/03/2015.
Références : 3040856, CERTFR-2015-AVI-102, CVE-2015-1628, CVE-2015-1629, CVE-2015-1630, CVE-2015-1631, CVE-2015-1632, MS15-026, VIGILANCE-VUL-16370.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Exchange 2013.

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1628]

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1629]

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1630]

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1632]

Un attaquant peut usurper l'identité de l'organisateur d'une réunion. [grav:2/4; CVE-2015-1631]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2014-6319 CVE-2014-6325 CVE-2014-6326

Microsoft Exchange : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Exchange.
Produits concernés : Exchange.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/12/2014.
Références : 3009712, CERTFR-2014-AVI-517, CVE-2014-6319, CVE-2014-6325, CVE-2014-6326, CVE-2014-6336, MS14-075, VIGILANCE-VUL-15764.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Exchange.

Un attaquant peut usurper un jeton OWA, afin d'élever ses privilèges. [grav:3/4; CVE-2014-6319]

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-6325]

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-6326]

Un attaquant peut tromper l'utilisateur, afin de le rediriger vers un site illicite. [grav:1/4; CVE-2014-6336]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique 15119

Microsoft Exchange : obtention d'information

Synthèse de la vulnérabilité

Un attaquant peut utiliser le "Client Access Server" de Microsoft Exchange, afin d'obtenir des informations sensibles.
Produits concernés : Exchange.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : source unique (2/5).
Date création : 05/08/2014.
Références : VIGILANCE-VUL-15119.

Description de la vulnérabilité

Le produit Microsoft Exchange dispose d'un service Web de configuration automatique des clients.

Un attaquant peut utiliser la fonction de configuration automatique de Exchange, afin d'obtenir des informations sur la topologie ou l'adressage du coté interne du réseau ou se trouve le serveur Exchange. [grav:1/4]

Un attaquant peut utiliser les variations de temps de réponse de la fonction de configuration automatique de Microsoft Exchange pour découvrir des noms d'utilisateur du domaine Active Directory à partir de tout compte valide. [grav:1/4]

Un attaquant peut utiliser une requête SOAP de configuration automatique mal formée afin de découvrir des adresses de courrier. [grav:1/4]

Un attaquant peut donc utiliser le "Client Access Server" de Microsoft Exchange, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2014-0294

Microsoft Forefront Protection 2010 for Exchange : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut envoyer un email illicite vers Microsoft Forefront Protection 2010 for Exchange, afin d'exécuter du code.
Produits concernés : Exchange, Forefront Security pour Exchange Server.
Gravité : 4/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/02/2014.
Références : 2927022, BID-65397, CERTFR-2014-AVI-063, CVE-2014-0294, MS14-008, VIGILANCE-VUL-14221.

Description de la vulnérabilité

Le produit Microsoft Forefront Protection 2010 for Exchange analyse les emails, afin de détecter les malwares.

Cependant, un email malformé force Forefront Protection à exécuter du code.

Un attaquant peut donc envoyer un email illicite vers Microsoft Forefront Protection 2010 for Exchange, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2013-1330 CVE-2013-5072

Microsoft Exchange : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Exchange.
Produits concernés : Exchange.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/12/2013.
Références : 2915705, BID-62221, BID-64085, CERTA-2013-AVI-671, CVE-2013-1330, CVE-2013-5072, MS13-105, VIGILANCE-VUL-13929.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Exchange.

Lorsque Viewstate MAC est désactivé, un attaquant peut employer un workflow non assigné, afin d'exécuter du code. [grav:4/4; BID-62221, CVE-2013-1330]

Un attaquant peut provoquer un Cross Site Scripting dans OWA, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; BID-64085, CVE-2013-5072]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2013-5763 CVE-2013-5791

Oracle Outside In Technology : deux vulnérabilités d'octobre 2013

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Outside In Technology sont corrigées dans le CPU d'octobre 2013.
Produits concernés : Exchange, Oracle OIT.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/10/2013.
Références : 2915705, BID-63076, BID-63741, CERTA-2013-AVI-575, cpuoct2013, CVE-2013-3624-ERROR, CVE-2013-5763, CVE-2013-5791, MS13-105, VIGILANCE-VUL-13604, VU#953241, VU#959313.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Outside In Technology. Ces bibliothèques sont utilisées par plusieurs produits, qui sont donc aussi affectés par ces vulnérabilités.

Un attaquant peut provoquer un buffer overflow via un document Microsoft Access, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-63076, CVE-2013-5791, VU#953241]

Un attaquant peut provoquer un buffer overflow via un fichier OS/2 Metafile, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-63741, CVE-2013-3624-ERROR, CVE-2013-5763, VU#959313]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Microsoft Exchange Server :