L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de MuleSoft Mule ESB

annonce de vulnérabilité informatique 19757

xmlsec : vulnérabilité

Synthèse de la vulnérabilité

Une vulnérabilité de xmlsec a été annoncée.
Produits concernés : Mule ESB.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Date création : 01/06/2016.
Références : VIGILANCE-VUL-19757.

Description de la vulnérabilité

Une vulnérabilité de xmlsec a été annoncée.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2015-4852 CVE-2015-6420 CVE-2015-6934

Apache Commons Collections : exécution de code via InvokerTransformer

Synthèse de la vulnérabilité

Un attaquant peut envoyer un objet Gadget Chain sérialisé malveillant vers une application Java utilisant Apache Commons Collections, afin d'exécuter du code shell.
Produits concernés : CAS Server, Blue Coat CAS, SGOS par Blue Coat, Brocade Network Advisor, Brocade vTM, ASA, AsyncOS, Cisco ESA, Cisco Prime Access Registrar, Prime Infrastructure, Cisco Prime LMS, Cisco PRSM, Secure ACS, Cisco CUCM, Cisco Unified CCX, Cisco MeetingPlace, Cisco Unity ~ précis, Debian, BIG-IP Hardware, TMOS, HPE BSM, HPE NNMi, HP Operations, DB2 UDB, Domino, Notes, IRAD, QRadar SIEM, SPSS Modeler, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, JBoss AS OpenSource, Junos Space, ePO, Mule ESB, Snap Creator Framework, SnapManager, NetIQ Sentinel, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle OIT, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, Oracle Web Tier, RHEL, JBoss EAP par Red Hat, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Manager, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, Unix (plateforme) ~ non exhaustif, vCenter Server.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 12.
Date création : 12/11/2015.
Références : 1610582, 1970575, 1971370, 1971531, 1971533, 1971751, 1972261, 1972373, 1972565, 1972794, 1972839, 2011281, 7014463, 7022958, 9010052, BSA-2016-004, bulletinjul2016, c04953244, c05050545, c05206507, c05325823, c05327447, CERTFR-2015-AVI-484, CERTFR-2015-AVI-555, cisco-sa-20151209-java-deserialization, COLLECTIONS-580, cpuapr2017, cpuapr2018, cpujan2017, cpujan2018, cpujul2017, cpuoct2016, cpuoct2017, cpuoct2018, CVE-2015-4852, CVE-2015-6420, CVE-2015-6934, CVE-2015-7420-ERROR, CVE-2015-7450, CVE-2015-7501, CVE-2015-8545, CVE-2015-8765, CVE-2016-1985, CVE-2016-1997, CVE-2016-4373, CVE-2016-4398, DSA-3403-1, HPSBGN03542, HPSBGN03560, HPSBGN03630, HPSBGN03656, HPSBGN03670, JSA10838, NTAP-20151123-0001, RHSA-2015:2500-01, RHSA-2015:2501-01, RHSA-2015:2502-01, RHSA-2015:2516-01, RHSA-2015:2517-01, RHSA-2015:2521-01, RHSA-2015:2522-01, RHSA-2015:2523-01, RHSA-2015:2524-01, RHSA-2015:2534-01, RHSA-2015:2535-01, RHSA-2015:2536-01, RHSA-2015:2537-01, RHSA-2015:2538-01, RHSA-2015:2539-01, RHSA-2015:2540-01, RHSA-2015:2541-01, RHSA-2015:2542-01, RHSA-2015:2547-01, RHSA-2015:2548-01, RHSA-2015:2556-01, RHSA-2015:2557-01, RHSA-2015:2559-01, RHSA-2015:2560-01, RHSA-2015:2578-01, RHSA-2015:2579-01, RHSA-2015:2670-01, RHSA-2015:2671-01, RHSA-2016:0040-01, RHSA-2016:0118-01, SA110, SB10144, SOL30518307, VIGILANCE-VUL-18294, VMSA-2015-0009, VMSA-2015-0009.1, VMSA-2015-0009.2, VMSA-2015-0009.3, VMSA-2015-0009.4, VU#576313.

Description de la vulnérabilité

La bibliothèque Apache Commons Collections est utilisée par de nombreuses applications Java.

Un objet Java Gadgets ("gadget chains") peut contenir des Transformers, avec une chaîne "exec" contenant une commande shell qui est exécutée avec la méthode Java.lang.Runtime.exec(). Lorsque des données brutes sont désérialisées, la méthode readObject() est donc appelée pour reconstruire l'objet Gadgets, et elle utilise InvokerTransformer, qui exécute la commande shell indiquée.

On peut noter que d'autres classes (CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, PrototypeCloneFactory, PrototypeSerializationFactory, WhileClosure) exécutent aussi une commande shell à partir de données brutes à désérialiser.

Cependant, plusieurs applications exposent publiquement (avant authentification) la fonctionnalité de désérialisation Java.

Un attaquant peut donc envoyer un objet Gadget Chain sérialisé malveillant vers une application Java utilisant Apache Commons Collections, afin d'exécuter du code shell.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2015-2613 CVE-2015-7940

Bouncy Castle, Oracle Java : obtention de clé privée de courbes elliptiques

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité dans l'implémentation des courbes elliptiques par Bouncy Castle et Oracle Java, afin d'obtenir des informations sensibles.
Produits concernés : Bouncy Castle JCE, DCFM Enterprise, FabricOS, Brocade Network Advisor, Brocade vTM, Debian, Fedora, IRAD, WebSphere MQ, Mule ESB, SnapManager, Java OpenJDK, openSUSE, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Oracle iPlanet Web Server, Java Oracle, JavaFX, Oracle OIT, Tuxedo, Oracle Virtual Directory, WebLogic, Oracle Web Tier, Ubuntu.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 22/10/2015.
Références : 1968485, 1972455, 9010041, 9010044, BSA-2016-002, cpuapr2018, cpujan2017, cpujan2018, cpujan2019, cpujul2015, cpujul2017, cpujul2018, cpuoct2017, CVE-2015-2613, CVE-2015-7940, DSA-3417-1, FEDORA-2015-7d95466eda, NTAP-20150715-0001, NTAP-20151028-0001, openSUSE-SU-2015:1911-1, RHSA-2016:2035-01, RHSA-2016:2036-01, USN-3727-1, VIGILANCE-VUL-18168.

Description de la vulnérabilité

Les produits Bouncy Castle et Oracle Java Crypto Extension implémentent des algorithmes basés sur les courbes elliptiques.

Cependant, si le client force le serveur à calculer un secret commun utilisant des points situés hors de la courbe choisie, il peut progressivement deviner la clé secrète du serveur.

Un attaquant peut donc utiliser une vulnérabilité dans l'implémentation des courbes elliptiques par Bouncy Castle et Oracle Java, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2015-5262

Apache HttpComponents HttpClient : déni de service via Timeout

Synthèse de la vulnérabilité

Un attaquant disposant d'un serveur illicite peut ne pas répondre, pour bloquer les clients utilisant Apache HttpComponents HttpClient, afin de mener un déni de service.
Produits concernés : Apache HttpClient, Fedora, QRadar SIEM, Mule ESB, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Date création : 02/10/2015.
Références : 1259892, 2015815, CVE-2015-5262, FEDORA-2015-15588, FEDORA-2015-15589, USN-2769-1, VIGILANCE-VUL-18023.

Description de la vulnérabilité

Le produit Apache HttpComponents HttpClient implémente un client web

Cependant, il n'y a pas de timeout lors de l'étape de connexion sur un serveur.

Un attaquant disposant d'un serveur illicite peut donc ne pas répondre, pour bloquer les clients utilisant Apache HttpComponents HttpClient, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-3603

OpenSAML Java : validation incomplète de certificat

Synthèse de la vulnérabilité

Un attaquant peut placer un certificat valide sur un serveur illicite, puis inviter un client Apache HttpClient 3 à s'y connecter, afin d'intercepter des communications malgré l'utilisation du chiffrement.
Produits concernés : Fedora, Mule ESB, OpenSAML-J.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Date création : 07/08/2015.
Références : CVE-2014-3603, FEDORA-2015-10175, FEDORA-2015-10235, VIGILANCE-VUL-17608.

Description de la vulnérabilité

La bibliothèque OpenSAML Java peut gérer des connexions HTTP sur SSL, à l'aide de Apache HttpClient 3 (VIGILANCE-VUL-12182).

Pour authentifier un serveur, le client doit non seulement valider le certificat (signatures cryptographiques, dates de validité, etc.), mais aussi que le certificat présenté corresponde bien au serveur visité. Cette vérification se fait normalement par les noms DNS, parfois par les adresses IP. Cependant, HttpClient ne vérifie pas la compatibilité entre les noms présents dans le certificat et celui demandé au niveau HTTP, ce qui fait que tout certificat valide est accepté.

Un attaquant peut donc placer un certificat valide sur un serveur illicite, puis inviter un client OpenSAML Java à s'y connecter, afin d'intercepter des communications malgré l'utilisation du chiffrement.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 16684

Mule ESB : Man-in-the-middle de HTTP Connector

Synthèse de la vulnérabilité

Un attaquant peut se positionner en Man-in-the-middle sur le HTTP Connector de Mule ESB, afin d'intercepter ou d'altérer des données.
Produits concernés : Mule ESB.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur intranet.
Date création : 21/04/2015.
Références : VIGILANCE-VUL-16684.

Description de la vulnérabilité

Le produit Mule ESB utilise le HTTP Connector pour se connecter sur des sites web.

Cependant, le HTTP Connector ne vérifie pas le certificat X.509.

Un attaquant peut donc se positionner en Man-in-the-middle sur le HTTP Connector de Mule ESB, afin d'intercepter ou d'altérer des données.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité 16270

OpenSAML Java : confiance incorrectement accordée par MetadataPKIX

Synthèse de la vulnérabilité

Un attaquant disposant d'un certificat fourni par l'un des Trust Anchors indiqués dans shibmd:KeyAuthority peut usurper l'identité d'une entité, afin d'élever ses privilèges sur une application utilisant OpenSAML Java.
Produits concernés : Mule ESB, OpenSAML-J.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 26/02/2015.
Références : VIGILANCE-VUL-16270.

Description de la vulnérabilité

Le produit OpenSAML Java utilise le moteur de confiance MetadataPKIX.

Cependant, MetadataPKIX accepte une accréditation X.509 lorsqu'il n'y a pas de Trusted Name disponible pour une entité entityID. Cette situation se produit lorsqu'une entité a un RoleDescriptor KeyDescriptor ne contenant pas d'élément KeyName. L'annonce de l'éditeur indique l'ensemble des configurations vulnérables.

Un attaquant disposant d'un certificat fourni par l'un des Trust Anchors indiqués dans shibmd:KeyAuthority peut donc usurper l'identité d'une entité, afin d'élever ses privilèges sur une application utilisant OpenSAML Java.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 15527

Mulesoft Mule ESB : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut injecter du code Java dans la console d'administration Web de Mulesoft Mule ESB, afin, par exemple d'augmenter ses privilèges.
Produits concernés : Mule ESB.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Date création : 23/10/2014.
Date révision : 27/10/2014.
Références : VIGILANCE-VUL-15527.

Description de la vulnérabilité

Le produit Mulesoft ESB dispose d'une console d'administration web.

Ce service Web est utilisé comme serveur RPC. Cependant, ce service ne vérifie pas correctement la validité des arguments. Un attaquant authentifié peut ainsi appeler des procédures non autorisées. L'exemple d'attaque suggère que le service "désérialise" le corps de la requête HTTP sans restrictions suffisantes sur le contenu de la requête.

Un attaquant peut donc injecter du code Java dans Mulesoft Mule ESB, afin, par exemple d'augmenter ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-0107

Xalan-Java : vulnérabilités de FEATURE_SECURE_PROCESSING

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de l'implémentation FEATURE_SECURE_PROCESSING de Xalan-Java.
Produits concernés : Xalan-Java, Debian, Fedora, SiteScope, Mule ESB, openSUSE, RHEL, JBoss EAP par Red Hat, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 25/03/2014.
Références : c05324755, CERTFR-2014-AVI-252, CERTFR-2014-AVI-365, CVE-2014-0107, DSA-2886-1, FEDORA-2014-4426, FEDORA-2014-4443, HPSBGN03669, oCERT-2014-002, openSUSE-SU-2014:0861-1, openSUSE-SU-2014:0948-1, RHSA-2014:0348-01, RHSA-2014:0453-01, RHSA-2014:0454-01, RHSA-2014:0590-01, RHSA-2014:0591-01, RHSA-2014:0818-01, RHSA-2014:0819-01, RHSA-2014:1007-01, RHSA-2014:1059-01, RHSA-2014:1290-01, RHSA-2014:1291-01, RHSA-2014:1351-01, RHSA-2014:1369-01, RHSA-2014:1995-01, RHSA-2015:1009, SUSE-SU-2014:0870-1, USN-2218-1, VIGILANCE-VUL-14468, XALANJ-2435.

Description de la vulnérabilité

La constante FEATURE_SECURE_PROCESSING (http://javax.xml.XMLConstants/feature/secure-processing) demande à Xalan-Java d'analyser les fichiers XML de manière sûre, afin par exemple de bloquer les dénis de service. Cependant, elle est impactée par trois vulnérabilités.

Un attaquant peut accéder à XSLT 1.0 system-property(), afin d'obtenir des informations sensibles. [grav:2/4]

Les propriétés xalan:content-handler et xalan:entities permettent de charger une classe ou une ressource externe. [grav:2/4; XALANJ-2435]

Si BSF (Bean Scripting Framework) est dans le classpath, un attaquant peut ouvrir un JAR, afin d'exécuter du code. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur MuleSoft Mule ESB :