L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de NetApp Data ONTAP 7-Mode

alerte de vulnérabilité CVE-2018-5737

ISC BIND : erreur d'assertion via serve-stale

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion via serve-stale de ISC BIND, afin de mener un déni de service.
Produits concernés : BIND, Data ONTAP 7-Mode.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 22/05/2018.
Références : CERTFR-2018-AVI-244, CVE-2018-5737, NTAP-20180926-0001, NTAP-20180926-0002, NTAP-20180926-0003, NTAP-20180926-0004, NTAP-20180926-0005, NTAP-20180927-0001, VIGILANCE-VUL-26181.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion via serve-stale de ISC BIND, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-5736

ISC BIND : déni de service via Zone Transfer Succession

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Zone Transfer Succession de ISC BIND, afin de mener un déni de service.
Produits concernés : BIND, Data ONTAP 7-Mode.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client intranet.
Date création : 22/05/2018.
Références : CERTFR-2018-AVI-244, CVE-2018-5736, NTAP-20180926-0001, NTAP-20180926-0002, NTAP-20180926-0003, NTAP-20180926-0004, NTAP-20180926-0005, NTAP-20180927-0001, VIGILANCE-VUL-26180.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Zone Transfer Succession de ISC BIND, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2016-10708

OpenSSH : déréférencement de pointeur NULL via un message NEWKEYS

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans OpenSSH via un message NEWKEYS reçu dans un mauvais ordre, afin de mener un déni de service.
Produits concernés : Blue Coat CAS, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Data ONTAP 7-Mode, OpenSSH, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 22/01/2018.
Références : CVE-2016-10708, DLA-1257-1, DLA-1500-1, DLA-1500-2, K32485746, NTAP-20180423-0003, openSUSE-SU-2018:2128-1, SUSE-SU-2018:1989-1, SUSE-SU-2018:2275-1, SUSE-SU-2018:2530-1, SUSE-SU-2018:2685-1, SUSE-SU-2018:3540-1, SYMSA1469, USN-3809-1, VIGILANCE-VUL-25131.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans OpenSSH via un message NEWKEYS reçu dans un mauvais ordre, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2016-1895

Data ONTAP : déni de service via User Input String

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via User Input String de Data ONTAP, afin de mener un déni de service.
Produits concernés : Data ONTAP 7-Mode.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Date création : 01/09/2017.
Références : CVE-2016-1895, NTAP-20170831-0003, VIGILANCE-VUL-23708.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via User Input String de Data ONTAP, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-12859

NetApp Data ONTAP : déni de service via NFS

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via NFS de NetApp Data ONTAP, afin de mener un déni de service.
Produits concernés : Data ONTAP 7-Mode.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client intranet.
Date création : 21/08/2017.
Références : CVE-2017-12859, NTAP-20170815-0002, VIGILANCE-VUL-23587.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via NFS de NetApp Data ONTAP, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-3140 CVE-2017-3141

ISC BIND : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ISC BIND.
Produits concernés : Fedora, HP-UX, BIND, Data ONTAP 7-Mode, Solaris, Slackware.
Gravité : 3/4.
Conséquences : accès/droits privilégié, déni de service du serveur, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 15/06/2017.
Références : bulletinjul2018, CERTFR-2017-AVI-184, CVE-2017-3140, CVE-2017-3141, FEDORA-2017-001f135337, FEDORA-2017-167cfa7b09, FEDORA-2017-59127a606c, FEDORA-2017-d04f7ddd73, HPESBUX03772, NTAP-20180926-0001, NTAP-20180926-0002, NTAP-20180926-0003, NTAP-20180926-0004, NTAP-20180926-0005, NTAP-20180927-0001, SSA:2017-165-01, VIGILANCE-VUL-22980.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ISC BIND.

Un attaquant peut provoquer une boucle infinie lorsque les "Response Policy Zones" sont utilisées, afin de mener un déni de service. [grav:3/4; CVE-2017-3140]

Sur MS-Windows, un attaquant local peut faire exécuter son propre programme à la place du service BIND en raison d'un mauvais traitement des espaces dans les chemins. [grav:2/4; CVE-2017-3141]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-3135

ISC BIND : erreur d'assertion via la configuration DNS64+RPZ

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion lorsque les fonctions DNS64 et RPZ de ISC BIND sont activées simultanément, afin de mener un déni de service.
Produits concernés : Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, HP-UX, BIND, Juniper J-Series, Junos OS, SRX-Series, Data ONTAP 7-Mode, openSUSE Leap, Solaris, RHEL, Slackware, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 09/02/2017.
Références : bulletinjul2018, CVE-2017-3135, DLA-843-1, DSA-2019-131, DSA-3795-1, FEDORA-2017-27099c270a, FEDORA-2017-2b46c8b6c2, FEDORA-2017-96b7f4f53e, FEDORA-2017-d0c9bf9508, HPESBUX03747, JSA10799, K80533167, NTAP-20180926-0001, NTAP-20180926-0002, NTAP-20180926-0003, NTAP-20180926-0004, NTAP-20180926-0005, NTAP-20180927-0001, openSUSE-SU-2017:0620-1, RHSA-2017:0276-01, SSA:2017-041-01, USN-3201-1, VIGILANCE-VUL-21790.

Description de la vulnérabilité

Le produit ISC BIND est un serveur DNS.

Il peut calculer les réponses de type adresse IPv6 à partir des données pour les adresses IPv4. Cependant, lorsque cette fonction est activée et que la fonction "Response Policy Zone" est aussi activée, une assertion peut être violée, ce qui stoppe le processus avec un signal SIGABORT.

Un attaquant peut donc provoquer une erreur d'assertion lorsque les fonctions DNS64 et RPZ de ISC BIND sont activées simultanément, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2016-6495

NetApp Data ONTAP : obtention d'information via /vol/volume_name

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via /vol/volume_name de NetApp Data ONTAP, afin d'obtenir des informations sensibles.
Produits concernés : Data ONTAP 7-Mode.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 08/02/2017.
Références : CVE-2016-6495, NTAP-20160929-0001, VIGILANCE-VUL-21774.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via /vol/volume_name de NetApp Data ONTAP, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-7055 CVE-2017-3730 CVE-2017-3731

OpenSSL : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Produits concernés : Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Brocade vTM, Cisco ASR, Cisco ATA, AsyncOS, Cisco Catalyst, Cisco Content SMA, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Router, Cisco CUCM, Cisco Manager Attendant Console, Cisco Wireless IP Phone, Cisco WSA, Cisco Wireless Controller, Debian, BIG-IP Hardware, TMOS, Fedora, FileZilla Server, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiOS, FreeBSD, hMailServer, AIX, Domino, Notes, IRAD, Rational ClearCase, Security Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, Junos OS, Juniper Network Connect, NSM Central Manager, NSMXpress, SRX-Series, MariaDB ~ précis, ePO, Meinberg NTP Server, MySQL Community, MySQL Enterprise, Data ONTAP 7-Mode, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Identity Management, Oracle iPlanet Web Server, Oracle OIT, Solaris, Tuxedo, VirtualBox, WebLogic, Oracle Web Tier, Palo Alto Firewall PA***, PAN-OS, Percona Server, pfSense, Pulse Connect Secure, Pulse Secure Client, RHEL, Slackware, stunnel, SUSE Linux Enterprise Desktop, SLES, Nessus, TrendMicro ServerProtect, Ubuntu, VxWorks, WinSCP.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 26/01/2017.
Références : 1117414, 2000544, 2000988, 2000990, 2002331, 2004036, 2004940, 2009389, 2010154, 2011567, 2012827, 2014202, 2014651, 2014669, 2015080, BSA-2016-204, BSA-2016-207, BSA-2016-211, BSA-2016-212, BSA-2016-213, BSA-2016-216, BSA-2016-234, bulletinapr2017, bulletinjan2018, bulletinoct2017, CERTFR-2017-AVI-035, CERTFR-2018-AVI-343, cisco-sa-20170130-openssl, cpuapr2017, cpuapr2019, cpujan2018, cpujul2017, cpujul2018, cpuoct2017, CVE-2016-7055, CVE-2017-3730, CVE-2017-3731, CVE-2017-3732, DLA-814-1, DSA-3773-1, FEDORA-2017-3451dbec48, FEDORA-2017-e853b4144f, FG-IR-17-019, FreeBSD-SA-17:02.openssl, ibm10732391, ibm10733905, ibm10738249, ibm10738401, JSA10775, K37526132, K43570545, K44512851, K-510805, NTAP-20170127-0001, NTAP-20170310-0002, NTAP-20180201-0001, openSUSE-SU-2017:0481-1, openSUSE-SU-2017:0487-1, openSUSE-SU-2017:0527-1, openSUSE-SU-2017:0941-1, openSUSE-SU-2017:2011-1, openSUSE-SU-2017:2868-1, openSUSE-SU-2018:0458-1, PAN-70674, PAN-73914, PAN-SA-2017-0012, PAN-SA-2017-0014, PAN-SA-2017-0016, RHSA-2017:0286-01, RHSA-2018:2568-01, RHSA-2018:2575-01, SA141, SA40423, SB10188, SSA:2017-041-02, SUSE-SU-2018:0112-1, SUSE-SU-2018:2839-1, SUSE-SU-2018:3082-1, TNS-2017-03, USN-3181-1, VIGILANCE-VUL-21692.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Un attaquant peut forcer la lecture à une adresse invalide via Truncated Packet, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2017-3731]

Un attaquant peut forcer le déréférencement d'un pointeur NULL via DHE/ECDHE Parameters, afin de mener un déni de service. [grav:2/4; CVE-2017-3730]

Un attaquant peut utiliser une erreur propagation de la retenue dans BN_mod_exp(), afin de calculer la clé privée. [grav:1/4; CVE-2017-3732]

Une erreur se produit dans la Broadwell-specific Montgomery Multiplication Procedure, mais sans impact apparent. [grav:1/4; CVE-2016-7055]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-9131 CVE-2016-9147 CVE-2016-9444

ISC BIND : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ISC BIND.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, HP-UX, AIX, BIND, Juniper J-Series, Junos OS, SRX-Series, Data ONTAP 7-Mode, openSUSE, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 12/01/2017.
Références : bulletinjan2017, c05381687, CERTFR-2017-AVI-013, CERTFR-2017-AVI-111, CVE-2016-9131, CVE-2016-9147, CVE-2016-9444, CVE-2016-9778, DLA-805-1, DSA-3758-1, FEDORA-2017-59ca54c94e, FEDORA-2017-87992a0557, FEDORA-2017-8f23f564ad, FEDORA-2017-f44f2f5a48, HPESBUX03699, JSA10785, K02138183, NTAP-20180926-0001, NTAP-20180926-0002, NTAP-20180926-0003, NTAP-20180926-0004, NTAP-20180926-0005, NTAP-20180927-0001, openSUSE-SU-2017:0182-1, openSUSE-SU-2017:0193-1, RHSA-2017:0062-01, RHSA-2017:0063-01, RHSA-2017:0064-01, RHSA-2017:1583-01, SSA:2017-011-01, SSRT110304, SUSE-SU-2017:0111-1, SUSE-SU-2017:0112-1, SUSE-SU-2017:0113-1, USN-3172-1, VIGILANCE-VUL-21552.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ISC BIND.

Un attaquant peut provoquer une erreur d'assertion via ANY Response, afin de mener un déni de service. [grav:2/4; CVE-2016-9131]

Un attaquant peut provoquer une erreur d'assertion via DNSSEC Information Response, afin de mener un déni de service. [grav:2/4; CVE-2016-9147]

Un attaquant peut provoquer une erreur d'assertion via DS Record Response, afin de mener un déni de service. [grav:2/4; CVE-2016-9444]

Un attaquant peut provoquer une erreur d'assertion via nxdomain-redirect, afin de mener un déni de service. [grav:2/4; CVE-2016-9778]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur NetApp Data ONTAP 7-Mode :