L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft System Center Configuration Manager

annonce de vulnérabilité informatique CVE-2015-0012

Microsoft System Center : élévation de privilèges via VMM User Role

Synthèse de la vulnérabilité

Un attaquant authentifié peut employer Microsoft System Center VMM, afin d'élever ses privilèges.
Produits concernés : SCCM, SCOM.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 10/02/2015.
Références : 3035898, CERTFR-2015-AVI-068, CVE-2015-0012, MS15-017, VIGILANCE-VUL-16167.

Description de la vulnérabilité

Le produit Microsoft System Center Virtual Machine Manager définit des rôles aux utilisateurs.

Cependant, VMM ne valide pas correctement ces rôles.

Un attaquant authentifié peut donc employer Microsoft System Center VMM, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-2779

Microsoft Malware Protection Engine : déni de service

Synthèse de la vulnérabilité

Un attaquant peut envoyer un fichier illicite vers le Microsoft Malware Protection Engine, afin de mener un déni de service.
Produits concernés : Forefront Security pour Exchange Server, Forefront Threat Management Gateway, Forefront Unified Access Gateway, SCCM, SCOM, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Date création : 18/06/2014.
Références : 2974294, CVE-2014-2779, VIGILANCE-VUL-14908.

Description de la vulnérabilité

Le moteur Microsoft Malware Protection Engine analyse les fichiers à la recherche de malwares.

Cependant, un fichier illicite bloque ce moteur.

Un attaquant peut donc envoyer un fichier illicite vers le Microsoft Malware Protection Engine, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2012-2536

Microsoft System Center Configuration Manager, SMS : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans Microsoft System Center Configuration Manager (et Microsoft Systems Management Server), afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : SCCM, Microsoft SMS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 11/09/2012.
Références : 2741528, BID-55430, CERTA-2012-AVI-495, CVE-2012-2536, MS12-062, VIGILANCE-VUL-11932.

Description de la vulnérabilité

Les produits Microsoft System Center Configuration Manager et Microsoft Systems Management Server proposent un service web.

Cependant, ces sites web ne filtrent pas leurs paramètres, avant de les réafficher dans les pages HTML générées.

Un attaquant peut donc provoquer un Cross Site Scripting dans Microsoft System Center Configuration Manager (et Microsoft Systems Management Server), afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Microsoft System Center Configuration Manager :