L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft SQL Server

bulletin de vulnérabilité informatique CVE-2017-5753

Processeurs : lecture mémoire via Spectre Bounds Check

Synthèse de la vulnérabilité

Un attaquant local peut accéder à la mémoire du noyau, afin d'obtenir des informations sensibles.
Produits concernés : SNS, iOS par Apple, Mac OS X, Blue Coat CAS, Cisco ASR, Cisco Catalyst, Nexus par Cisco, NX-OS, Cisco Router, Cisco UCS, XenServer, Debian, ConnectPort TSx, Avamar, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiAnalyzer, FortiGate, FortiManager, FortiOS, FreeBSD, Android OS, Chrome, AIX, IBM i, QRadar SIEM, Juniper J-Series, Junos OS, Junos Space, NSMXpress, Linux, McAfee Email Gateway, McAfee NSM, McAfee NTBA, McAfee Web Gateway, Meinberg NTP Server, Edge, IE, SQL Server, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Firefox, openSUSE Leap, Opera, Solaris, RealPresence Collaboration Server, RealPresence Distributed Media Application, RealPresence Resource Manager, RHEL, SIMATIC, Sonus SBC, Orolia SecureSync, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Synology DSM, Synology DS***, Synology RS***, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, VMware Workstation, WindRiver Linux, Xen.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 05/01/2018.
Date révision : 21/02/2018.
Références : 2016636, 519675, ADV180002, bulletinjan2018, bulletinjul2018, CERTFR-2018-AVI-004, CERTFR-2018-AVI-005, CERTFR-2018-AVI-006, CERTFR-2018-AVI-008, CERTFR-2018-AVI-009, CERTFR-2018-AVI-012, CERTFR-2018-AVI-013, CERTFR-2018-AVI-014, CERTFR-2018-AVI-016, CERTFR-2018-AVI-027, CERTFR-2018-AVI-029, CERTFR-2018-AVI-032, CERTFR-2018-AVI-048, CERTFR-2018-AVI-049, CERTFR-2018-AVI-077, CERTFR-2018-AVI-079, CERTFR-2018-AVI-094, CERTFR-2018-AVI-114, CERTFR-2018-AVI-124, CERTFR-2018-AVI-134, CERTFR-2018-AVI-208, CERTFR-2018-AVI-256, CERTFR-2018-AVI-365, CERTFR-2019-AVI-042, CERTFR-2019-AVI-052, cisco-sa-20180104-cpusidechannel, cpuapr2018, CTX231390, CTX231399, CVE-2017-5753, DLA-1422-1, DLA-1422-2, DLA-1423-1, DLA-1424-1, DLA-1434-1, DSA-2018-049, DSA-4187-1, DSA-4188-1, FEDORA-2018-21a7ad920c, FEDORA-2018-276558ff6f, FEDORA-2018-6b319763ab, FEDORA-2018-7e17849364, FEDORA-2018-e6fe35524d, FEDORA-2018-fb582aabcc, FG-IR-18-002, HT208397, HT208401, JSA10842, JSA10873, K91229003, MBGSA-1801, MFSA-2018-01, N1022433, nas8N1022433, openSUSE-SU-2018:0022-1, openSUSE-SU-2018:0023-1, openSUSE-SU-2018:0326-1, openSUSE-SU-2018:0459-1, openSUSE-SU-2018:1623-1, openSUSE-SU-2018:2119-1, RHSA-2018:0007-01, RHSA-2018:0008-01, RHSA-2018:0009-01, RHSA-2018:0010-01, RHSA-2018:0011-01, RHSA-2018:0012-01, RHSA-2018:0013-01, RHSA-2018:0014-01, RHSA-2018:0015-01, RHSA-2018:0016-01, RHSA-2018:0017-01, RHSA-2018:0018-01, RHSA-2018:0020-01, RHSA-2018:0021-01, RHSA-2018:0022-01, RHSA-2018:0023-01, RHSA-2018:0024-01, RHSA-2018:0025-01, RHSA-2018:0026-01, RHSA-2018:0027-01, RHSA-2018:0028-01, RHSA-2018:0029-01, RHSA-2018:0030-01, RHSA-2018:0031-01, RHSA-2018:0032-01, RHSA-2018:0034-01, RHSA-2018:0035-01, RHSA-2018:0036-01, RHSA-2018:0037-01, RHSA-2018:0038-01, RHSA-2018:0039-01, RHSA-2018:0040-01, RHSA-2018:0053-01, RHSA-2018:0093-01, RHSA-2018:0094-01, RHSA-2018:0103-01, RHSA-2018:0104-01, RHSA-2018:0105-01, RHSA-2018:0106-01, RHSA-2018:0107-01, RHSA-2018:0108-01, RHSA-2018:0109-01, RHSA-2018:0110-01, RHSA-2018:0111-01, RHSA-2018:0112-01, RHSA-2018:0182-01, RHSA-2018:0292-01, RHSA-2018:0464-01, RHSA-2018:0496-01, RHSA-2018:0512-01, RHSA-2018:1129-01, RHSA-2018:1196-01, SA161, SB10226, Spectre, spectre_meltdown_advisory, SSA-168644, SSA-505225, STORM-2018-001, SUSE-SU-2018:0011-1, SUSE-SU-2018:0012-1, SUSE-SU-2018:0031-1, SUSE-SU-2018:0040-1, SUSE-SU-2018:0069-1, SUSE-SU-2018:0113-1, SUSE-SU-2018:0114-1, SUSE-SU-2018:0115-1, SUSE-SU-2018:0131-1, SUSE-SU-2018:0171-1, SUSE-SU-2018:0219-1, SUSE-SU-2018:0438-1, SUSE-SU-2018:0472-1, SUSE-SU-2018:0601-1, SUSE-SU-2018:0609-1, SUSE-SU-2018:0638-1, SUSE-SU-2018:0678-1, SUSE-SU-2018:0909-1, SUSE-SU-2018:1368-1, SUSE-SU-2018:1376-1, SUSE-SU-2018:1603-1, SUSE-SU-2018:1658-1, SUSE-SU-2018:1699-1, SUSE-SU-2018:2150-1, SUSE-SU-2018:2528-1, SUSE-SU-2019:0222-1, Synology-SA-18:01, USN-3516-1, USN-3521-1, USN-3530-1, USN-3541-1, USN-3541-2, USN-3542-1, USN-3542-2, USN-3549-1, USN-3580-1, USN-3597-1, USN-3597-2, VIGILANCE-VUL-24948, VMSA-2018-0002, VMSA-2018-0004, VMSA-2018-0004.2, VMSA-2018-0004.3, VMSA-2018-0007, VN-2018-001, VN-2018-002, VU#584653, XSA-254.

Description de la vulnérabilité

Un attaquant local peut mesurer les performances de son processus pour obtenir des informations sur le contenu des données manipulés par le processeur.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-5715

Processeurs : lecture mémoire via Spectre Branch Target

Synthèse de la vulnérabilité

Un attaquant local peut mesurer les performances de son processus pour obtenir des informations sur le contenu des données manipulés par le processeur.
Produits concernés : SNS, iOS par Apple, Mac OS X, Blue Coat CAS, Cisco ASR, Cisco Catalyst, Nexus par Cisco, NX-OS, Cisco Router, Cisco UCS, XenServer, Debian, ConnectPort TSx, Avamar, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiAnalyzer, FortiGate, FortiManager, FortiOS, FreeBSD, Android OS, Chrome, AIX, IBM i, QRadar SIEM, Juniper J-Series, Junos OS, Junos Space, NSMXpress, Linux, McAfee Email Gateway, McAfee NSM, McAfee NTBA, McAfee Web Gateway, Meinberg NTP Server, Edge, IE, SQL Server, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Firefox, openSUSE Leap, Opera, pfSense, RealPresence Collaboration Server, RealPresence Distributed Media Application, RealPresence Resource Manager, RHEL, SIMATIC, Slackware, Sonus SBC, Orolia SecureSync, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Synology DSM, Synology DS***, Synology RS***, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, VMware vSphere, VMware vSphere Hypervisor, VMware Workstation, WindRiver Linux, Xen.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 05/01/2018.
Date révision : 07/02/2018.
Références : 2016636, 519675, ADV180002, CERTFR-2018-AVI-004, CERTFR-2018-AVI-005, CERTFR-2018-AVI-006, CERTFR-2018-AVI-008, CERTFR-2018-AVI-009, CERTFR-2018-AVI-012, CERTFR-2018-AVI-013, CERTFR-2018-AVI-014, CERTFR-2018-AVI-016, CERTFR-2018-AVI-028, CERTFR-2018-AVI-029, CERTFR-2018-AVI-030, CERTFR-2018-AVI-032, CERTFR-2018-AVI-040, CERTFR-2018-AVI-048, CERTFR-2018-AVI-049, CERTFR-2018-AVI-075, CERTFR-2018-AVI-079, CERTFR-2018-AVI-080, CERTFR-2018-AVI-083, CERTFR-2018-AVI-094, CERTFR-2018-AVI-104, CERTFR-2018-AVI-118, CERTFR-2018-AVI-119, CERTFR-2018-AVI-124, CERTFR-2018-AVI-134, CERTFR-2018-AVI-161, CERTFR-2018-AVI-170, CERTFR-2018-AVI-196, CERTFR-2018-AVI-206, CERTFR-2018-AVI-208, CERTFR-2018-AVI-256, cisco-sa-20180104-cpusidechannel, CTX231390, CTX231399, CVE-2017-5715, DLA-1349-1, DLA-1362-1, DLA-1369-1, DLA-1422-1, DLA-1422-2, DLA-1497-1, DLA-1506-1, DSA-2018-049, DSA-4120-1, DSA-4120-2, DSA-4179-1, DSA-4187-1, DSA-4188-1, DSA-4213-1, FEDORA-2018-21a7ad920c, FEDORA-2018-276558ff6f, FEDORA-2018-6b319763ab, FEDORA-2018-7e17849364, FEDORA-2018-e6fe35524d, FEDORA-2018-fb582aabcc, FG-IR-18-002, FreeBSD-SA-18:03.speculative_execution, HT208397, HT208401, JSA10842, JSA10873, K91229003, LSN-0035-1, MBGSA-1801, MFSA-2018-01, N1022433, nas8N1022433, openSUSE-SU-2018:0013-1, openSUSE-SU-2018:0022-1, openSUSE-SU-2018:0023-1, openSUSE-SU-2018:0026-1, openSUSE-SU-2018:0030-1, openSUSE-SU-2018:0059-1, openSUSE-SU-2018:0066-1, openSUSE-SU-2018:0187-1, openSUSE-SU-2018:0326-1, openSUSE-SU-2018:0408-1, openSUSE-SU-2018:0459-1, openSUSE-SU-2018:0710-1, openSUSE-SU-2018:0745-1, openSUSE-SU-2018:0780-1, openSUSE-SU-2018:0939-1, openSUSE-SU-2018:1502-1, openSUSE-SU-2018:1623-1, openSUSE-SU-2018:1631-1, openSUSE-SU-2018:2119-1, openSUSE-SU-2018:2237-1, openSUSE-SU-2018:2524-1, RHSA-2018:0007-01, RHSA-2018:0008-01, RHSA-2018:0009-01, RHSA-2018:0010-01, RHSA-2018:0011-01, RHSA-2018:0012-01, RHSA-2018:0013-01, RHSA-2018:0014-01, RHSA-2018:0015-01, RHSA-2018:0016-01, RHSA-2018:0017-01, RHSA-2018:0018-01, RHSA-2018:0020-01, RHSA-2018:0021-01, RHSA-2018:0022-01, RHSA-2018:0023-01, RHSA-2018:0024-01, RHSA-2018:0025-01, RHSA-2018:0026-01, RHSA-2018:0027-01, RHSA-2018:0028-01, RHSA-2018:0029-01, RHSA-2018:0030-01, RHSA-2018:0031-01, RHSA-2018:0032-01, RHSA-2018:0034-01, RHSA-2018:0035-01, RHSA-2018:0036-01, RHSA-2018:0037-01, RHSA-2018:0038-01, RHSA-2018:0039-01, RHSA-2018:0040-01, RHSA-2018:0053-01, RHSA-2018:0093-01, RHSA-2018:0094-01, RHSA-2018:0103-01, RHSA-2018:0104-01, RHSA-2018:0105-01, RHSA-2018:0106-01, RHSA-2018:0107-01, RHSA-2018:0108-01, RHSA-2018:0109-01, RHSA-2018:0110-01, RHSA-2018:0111-01, RHSA-2018:0112-01, RHSA-2018:0182-01, RHSA-2018:0292-01, RHSA-2018:0496-01, RHSA-2018:0512-01, RHSA-2018:1129-01, RHSA-2018:1196-01, SA161, SB10226, Spectre, spectre_meltdown_advisory, SSA-168644, SSA:2018-016-01, SSA:2018-037-01, STORM-2018-001, SUSE-SU-2018:0006-1, SUSE-SU-2018:0007-1, SUSE-SU-2018:0008-1, SUSE-SU-2018:0009-1, SUSE-SU-2018:0011-1, SUSE-SU-2018:0012-1, SUSE-SU-2018:0019-1, SUSE-SU-2018:0020-1, SUSE-SU-2018:0031-1, SUSE-SU-2018:0036-1, SUSE-SU-2018:0039-1, SUSE-SU-2018:0040-1, SUSE-SU-2018:0041-1, SUSE-SU-2018:0051-1, SUSE-SU-2018:0056-1, SUSE-SU-2018:0067-1, SUSE-SU-2018:0068-1, SUSE-SU-2018:0069-1, SUSE-SU-2018:0113-1, SUSE-SU-2018:0114-1, SUSE-SU-2018:0115-1, SUSE-SU-2018:0131-1, SUSE-SU-2018:0171-1, SUSE-SU-2018:0219-1, SUSE-SU-2018:0383-1, SUSE-SU-2018:0416-1, SUSE-SU-2018:0437-1, SUSE-SU-2018:0438-1, SUSE-SU-2018:0472-1, SUSE-SU-2018:0525-1, SUSE-SU-2018:0555-1, SUSE-SU-2018:0601-1, SUSE-SU-2018:0609-1, SUSE-SU-2018:0638-1, SUSE-SU-2018:0660-1, SUSE-SU-2018:0678-1, SUSE-SU-2018:0705-1, SUSE-SU-2018:0708-1, SUSE-SU-2018:0762-1, SUSE-SU-2018:0831-1, SUSE-SU-2018:0838-1, SUSE-SU-2018:0841-1, SUSE-SU-2018:0861-1, SUSE-SU-2018:0909-1, SUSE-SU-2018:0920-1, SUSE-SU-2018:0986-1, SUSE-SU-2018:1077-1, SUSE-SU-2018:1080-1, SUSE-SU-2018:1308-1, SUSE-SU-2018:1363-1, SUSE-SU-2018:1368-1, SUSE-SU-2018:1376-1, SUSE-SU-2018:1386-1, SUSE-SU-2018:1498-1, SUSE-SU-2018:1503-1, SUSE-SU-2018:1567-1, SUSE-SU-2018:1570-1, SUSE-SU-2018:1571-1, SUSE-SU-2018:1603-1, SUSE-SU-2018:1658-1, SUSE-SU-2018:1661-1, SUSE-SU-2018:1699-1, SUSE-SU-2018:1759-1, SUSE-SU-2018:1784-1, SUSE-SU-2018:2082-1, SUSE-SU-2018:2141-1, SUSE-SU-2018:2189-1, SUSE-SU-2018:2528-1, SUSE-SU-2018:2631-1, Synology-SA-18:01, USN-3516-1, USN-3530-1, USN-3531-1, USN-3531-2, USN-3531-3, USN-3541-1, USN-3541-2, USN-3549-1, USN-3560-1, USN-3561-1, USN-3580-1, USN-3581-1, USN-3581-2, USN-3581-3, USN-3582-1, USN-3582-2, USN-3594-1, USN-3597-1, USN-3597-2, USN-3620-1, USN-3620-2, USN-3690-1, USN-3690-2, VIGILANCE-VUL-24949, VMSA-2018-0002, VMSA-2018-0004, VMSA-2018-0004.2, VMSA-2018-0004.3, VN-2018-001, VN-2018-002, VU#584653, XSA-254.

Description de la vulnérabilité

Un attaquant local peut mesurer les performances de son processus pour obtenir des informations sur le contenu des données manipulées par le processeur.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-5754

Intel Processeurs : lecture mémoire via Meltdown

Synthèse de la vulnérabilité

Lorsque le système utilise un processeur Intel, un attaquant local peut accéder à la mémoire du noyau, afin d'obtenir des informations sensibles.
Produits concernés : SNS, iOS par Apple, iPhone, Mac OS X, Blue Coat CAS, Cisco ASR, Cisco Catalyst, Nexus par Cisco, NX-OS, Cisco Router, Cisco UCS, XenServer, Debian, Avamar, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, FortiAnalyzer, FortiGate, FortiManager, FortiOS, FreeBSD, Android OS, AIX, IBM i, QRadar SIEM, Juniper J-Series, Junos OS, Junos Space, NSMXpress, Linux, McAfee Email Gateway, McAfee NSM, McAfee NTBA, McAfee Web Gateway, Meinberg NTP Server, Edge, IE, SQL Server, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, OpenBSD, openSUSE Leap, pfSense, RealPresence Collaboration Server, RealPresence Distributed Media Application, RealPresence Resource Manager, RHEL, SIMATIC, Slackware, Sonus SBC, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Synology DSM, Synology DS***, Synology RS***, Ubuntu, Unix (plateforme) ~ non exhaustif, vCenter Server, WindRiver Linux, Xen.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 03/01/2018.
Date révision : 05/01/2018.
Références : 2016636, 519675, ADV180002, CERTFR-2018-ALE-001, CERTFR-2018-AVI-004, CERTFR-2018-AVI-005, CERTFR-2018-AVI-009, CERTFR-2018-AVI-012, CERTFR-2018-AVI-014, CERTFR-2018-AVI-017, CERTFR-2018-AVI-018, CERTFR-2018-AVI-029, CERTFR-2018-AVI-048, CERTFR-2018-AVI-049, CERTFR-2018-AVI-077, CERTFR-2018-AVI-079, CERTFR-2018-AVI-114, CERTFR-2018-AVI-124, CERTFR-2018-AVI-134, CERTFR-2018-AVI-208, CERTFR-2018-AVI-225, cisco-sa-20180104-cpusidechannel, CTX231390, CTX231399, CTX234679, CVE-2017-5754, DLA-1232-1, DLA-1349-1, DSA-2018-049, DSA-4078-1, DSA-4082-1, DSA-4120-1, DSA-4120-2, DSA-4179-1, FG-IR-18-002, FreeBSD-SA-18:03.speculative_execution, HT208331, HT208334, HT208394, HT208465, JSA10842, JSA10873, K91229003, MBGSA-1801, Meltdown, N1022433, nas8N1022433, openSUSE-SU-2018:0022-1, openSUSE-SU-2018:0023-1, openSUSE-SU-2018:0326-1, openSUSE-SU-2018:0459-1, openSUSE-SU-2018:1623-1, RHSA-2018:0007-01, RHSA-2018:0008-01, RHSA-2018:0009-01, RHSA-2018:0010-01, RHSA-2018:0011-01, RHSA-2018:0012-01, RHSA-2018:0013-01, RHSA-2018:0014-01, RHSA-2018:0015-01, RHSA-2018:0016-01, RHSA-2018:0017-01, RHSA-2018:0018-01, RHSA-2018:0020-01, RHSA-2018:0021-01, RHSA-2018:0022-01, RHSA-2018:0023-01, RHSA-2018:0024-01, RHSA-2018:0025-01, RHSA-2018:0026-01, RHSA-2018:0027-01, RHSA-2018:0028-01, RHSA-2018:0029-01, RHSA-2018:0030-01, RHSA-2018:0031-01, RHSA-2018:0032-01, RHSA-2018:0034-01, RHSA-2018:0035-01, RHSA-2018:0036-01, RHSA-2018:0037-01, RHSA-2018:0038-01, RHSA-2018:0039-01, RHSA-2018:0040-01, RHSA-2018:0053-01, RHSA-2018:0093-01, RHSA-2018:0094-01, RHSA-2018:0103-01, RHSA-2018:0104-01, RHSA-2018:0105-01, RHSA-2018:0106-01, RHSA-2018:0107-01, RHSA-2018:0108-01, RHSA-2018:0109-01, RHSA-2018:0110-01, RHSA-2018:0111-01, RHSA-2018:0112-01, RHSA-2018:0182-01, RHSA-2018:0292-01, RHSA-2018:0464-01, RHSA-2018:0496-01, RHSA-2018:0512-01, RHSA-2018:1129-01, RHSA-2018:1196-01, SA161, SB10226, spectre_meltdown_advisory, SSA-168644, SSA:2018-016-01, SSA:2018-037-01, STORM-2018-001, SUSE-SU-2018:0010-1, SUSE-SU-2018:0011-1, SUSE-SU-2018:0012-1, SUSE-SU-2018:0031-1, SUSE-SU-2018:0040-1, SUSE-SU-2018:0069-1, SUSE-SU-2018:0115-1, SUSE-SU-2018:0131-1, SUSE-SU-2018:0171-1, SUSE-SU-2018:0219-1, SUSE-SU-2018:0438-1, SUSE-SU-2018:0472-1, SUSE-SU-2018:0601-1, SUSE-SU-2018:0609-1, SUSE-SU-2018:0638-1, SUSE-SU-2018:0678-1, SUSE-SU-2018:0909-1, SUSE-SU-2018:1603-1, SUSE-SU-2018:1658-1, SUSE-SU-2018:1699-1, SUSE-SU-2018:2528-1, Synology-SA-18:01, USN-3516-1, USN-3522-1, USN-3522-2, USN-3522-3, USN-3522-4, USN-3523-1, USN-3523-2, USN-3523-3, USN-3524-1, USN-3524-2, USN-3525-1, USN-3540-1, USN-3540-2, USN-3541-1, USN-3541-2, USN-3583-1, USN-3583-2, USN-3597-1, USN-3597-2, VIGILANCE-VUL-24933, VMSA-2018-0007, VN-2018-001, VN-2018-002, VU#584653, XSA-254.

Description de la vulnérabilité

Lorsque le système utilise un processeur Intel, un attaquant local peut accéder à la mémoire du noyau, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-8516

Microsoft SQL Server : obtention d'information

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Microsoft SQL Server, afin d'obtenir des informations sensibles.
Produits concernés : SQL Server.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Date création : 09/08/2017.
Références : CERTFR-2017-AVI-259, CVE-2017-8516, VIGILANCE-VUL-23478.

Description de la vulnérabilité

Le produit Microsoft SQL Server dispose d'un service web.

Cependant, un attaquant peut contourner les restrictions d'accès aux données.

Un attaquant peut donc utiliser une vulnérabilité de Microsoft SQL Server, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 23108

Microsoft : exécution de code de DLL

Synthèse de la vulnérabilité

Un attaquant peut créer une DLL malveillante, puis la placer dans le répertoire de travail d'une application de Microsoft, afin d'exécuter du code.
Produits concernés : Office, Access, Office Communicator, Excel, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word, SQL Server, Visual Studio.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur intranet.
Date création : 30/06/2017.
Références : VIGILANCE-VUL-23108.

Description de la vulnérabilité

Le produit Microsoft utilise des bibliothèques partagées (DLL) externes.

Cependant, si le répertoire de travail contient une bibliothèque malveillante, elle est chargée automatiquement.

Un attaquant peut donc créer une DLL malveillante, puis la placer dans le répertoire de travail d'une application de Microsoft, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-7249 CVE-2016-7250 CVE-2016-7251

Microsoft SQL Server : six vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft SQL Server.
Produits concernés : SQL Server.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 6.
Date création : 09/11/2016.
Références : 3199641, CVE-2016-7249, CVE-2016-7250, CVE-2016-7251, CVE-2016-7252, CVE-2016-7253, CVE-2016-7254, MS16-136, VIGILANCE-VUL-21076.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft SQL Server.

Un attaquant peut contourner les mesures de sécurité via SQL RDBMS Engine, afin d'élever ses privilèges. [grav:2/4; CVE-2016-7249]

Un attaquant peut contourner les mesures de sécurité via SQL RDBMS Engine, afin d'élever ses privilèges. [grav:2/4; CVE-2016-7250]

Un attaquant peut contourner les mesures de sécurité via SQL RDBMS Engine, afin d'élever ses privilèges. [grav:2/4; CVE-2016-7254]

Un attaquant peut provoquer un Cross Site Scripting via MDS API, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-7251]

Un attaquant peut contourner les mesures de sécurité via SQL Analysis Services, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-7252]

Un attaquant peut contourner les mesures de sécurité via SQL Server Agent, afin d'élever ses privilèges. [grav:2/4; CVE-2016-7253]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2015-1761 CVE-2015-1762 CVE-2015-1763

Microsoft SQL Server : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft SQL Server.
Produits concernés : SQL Server.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte privilégié.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 15/07/2015.
Références : 3065718, CERTFR-2015-AVI-289, CVE-2015-1761, CVE-2015-1762, CVE-2015-1763, MS15-058, VIGILANCE-VUL-17355.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft SQL Server.

Un attaquant peut contourner les mesures de sécurité, afin d'élever ses privilèges. [grav:2/4; CVE-2015-1761]

Un attaquant peut utiliser une vulnérabilité, afin d'exécuter du code. [grav:2/4; CVE-2015-1762]

Un attaquant peut utiliser une vulnérabilité, afin d'exécuter du code. [grav:2/4; CVE-2015-1763]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-1820 CVE-2014-4061

Microsoft SQL Server : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut exploiter 2 vulnérabilités de Microsoft SQL Server, afin d'élever ses privilèges.
Produits concernés : SQL Server.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 13/08/2014.
Date révision : 14/08/2014.
Références : 2984340, CERTFR-2014-AVI-346, CVE-2014-1820, CVE-2014-4061, MS14-044, VIGILANCE-VUL-15168.

Description de la vulnérabilité

Deux vulnérabilités affectent SQL Server.

Un attaquant peut provoquer un buffer overflow en pile, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-4061]

Un attaquant peut provoquer un Cross Site Scripting dans Master Data Services, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-1820]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2012-2552

Microsoft SQL Server : Cross Site Scripting via SSRS

Synthèse de la vulnérabilité

Lorsque SQL Server Reporting Services est installé sur Microsoft SQL Server, un attaquant peut provoquer un Cross Site Scripting, afin de faire exécuter du code JavaScript dans le contexte du site web.
Produits concernés : SQL Server.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 09/10/2012.
Références : 2754849, BID-55783, CERTA-2012-AVI-560, CVE-2012-2552, MS12-070, VIGILANCE-VUL-12049.

Description de la vulnérabilité

Le composant SSRS (SQL Server Reporting Services) s'installe sur Microsoft SQL Server, et fournit des outils de reporting.

Cependant, le SQL Server Report Manager ne valide pas correctement ses paramètres, avant de les afficher sur le site web.

Lorsque SQL Server Reporting Services est installé sur Microsoft SQL Server, un attaquant peut donc provoquer un Cross Site Scripting, afin de faire exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2012-1856

Office, SQL Server, HIS, Visual Basic : exécution de code via MSCOMCTL.OCX

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter une page web chargeant l'ActiveX MSCOMCTL.OCX, afin de faire exécuter du code sur sa machine.
Produits concernés : Microsoft HIS, Office, Access, Office Communicator, Excel, Microsoft FrontPage, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word, SQL Server, Visual Studio.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 14/08/2012.
Références : 2720573, BID-54948, CERTA-2012-AVI-443, CVE-2012-1856, MS12-060, VIGILANCE-VUL-11851.

Description de la vulnérabilité

Le fichier MSCOMCTL.OCX est installé par plusieurs produits Microsoft :
 - Microsoft Office
 - Microsoft SQL Server
 - Microsoft Commerce Server
 - Microsoft Host Integration Server
 - Microsoft Visual FoxPro
 - Visual Basic 6.0 Runtime

Ce fichier contient les contrôles ActiveX Windows Common Controls (MSCOMCTL.TreeView, MSCOMCTL.ListView2, MSCOMCTL.TreeView2 et MSCOMCTL.ListView, MSCOMCTL.TabStrip).

Le contrôle TabStrip peut utiliser une zone mémoire libérée.

Un attaquant peut donc inviter la victime à consulter une page web chargeant l'ActiveX MSCOMCTL.OCX, afin de faire exécuter du code sur sa machine.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Microsoft SQL Server :