L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Oracle AS

bulletin de vulnérabilité CVE-2011-3389 CVE-2013-0169 CVE-2013-2172

Oracle Fusion Middleware : multiples vulnérabilités d'octobre 2013

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU d'octobre 2013.
Produits concernés : Oracle AS, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Portal, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 15.
Date création : 16/10/2013.
Références : BID-63041, BID-63043, BID-63049, BID-63052, BID-63054, BID-63058, BID-63066, BID-63069, BID-63074, CERTA-2013-AVI-575, cpuoct2013, CVE-2011-3389, CVE-2013-0169, CVE-2013-2172, CVE-2013-3827, CVE-2013-3828, CVE-2013-3831, CVE-2013-3833, CVE-2013-3836, CVE-2013-5773, CVE-2013-5798, CVE-2013-5813, CVE-2013-5815, CVE-2013-5816, RHSA-2013:1437-01, RHSA-2014:1369-01, VIGILANCE-VUL-13603, ZDI-13-249.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-63041, CVE-2013-5815]

Un attaquant peut provoquer une injection SQL dans PORTAL_DEMO.ORG_CHART, afin de lire ou modifier des données. [grav:2/4; BID-63043, CVE-2013-3831]

Un attaquant peut employer une vulnérabilité de Content Server, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-63049, CVE-2013-5813]

Un attaquant peut employer une vulnérabilité de Java Server Faces, afin d'obtenir des informations. [grav:2/4; CVE-2013-3827]

Un attaquant peut employer une vulnérabilité de Metro, afin de mener un déni de service. [grav:2/4; BID-63054, CVE-2013-5816]

Un attaquant peut employer une vulnérabilité de Web Container, afin d'obtenir des informations. [grav:2/4; CVE-2013-3827]

Un attaquant peut traverser les répertoires dans Test Page BPEL Process Manager, afin de lire un fichier situé hors de la racine. [grav:2/4; BID-63058, CVE-2013-3828, ZDI-13-249]

Un attaquant peut employer une vulnérabilité de Web Container, afin d'obtenir des informations. [grav:2/4; BID-63052, CVE-2013-3827]

Un attaquant peut employer une vulnérabilité de Authentication Engine, afin d'altérer des informations. [grav:2/4; CVE-2013-3833]

Un attaquant peut employer une vulnérabilité de Servlet Runtime, afin d'altérer des informations. [grav:2/4; BID-63066, CVE-2013-5773]

Un attaquant peut employer une vulnérabilité de Metro, afin d'altérer des informations. [grav:2/4; CVE-2013-2172]

Un attaquant peut employer une vulnérabilité de End User Self Service, afin d'altérer des informations. [grav:2/4; BID-63069, CVE-2013-5798]

Un attaquant peut employer une vulnérabilité de SSL/TLS, afin d'obtenir des informations (VIGILANCE-VUL-11014). [grav:2/4; CVE-2011-3389]

Un attaquant peut employer une vulnérabilité de ESI/Partial Page Caching, afin d'obtenir des informations. [grav:2/4; BID-63074, CVE-2013-3836]

Un attaquant peut employer une vulnérabilité de SSL/TLS, afin d'obtenir des informations (VIGILANCE-VUL-12374). [grav:1/4; CVE-2013-0169]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2005-3352 CVE-2006-5752 CVE-2007-3847

Oracle Fusion Middleware : multiples vulnérabilités de juillet 2013

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU de juillet 2013.
Produits concernés : Oracle AS, Oracle Fusion Middleware, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 19.
Date création : 17/07/2013.
Références : BID-61224, CERTA-2013-AVI-425, cpujuly2013, CVE-2005-3352, CVE-2006-5752, CVE-2007-3847, CVE-2007-5000, CVE-2007-6388, CVE-2008-2364, CVE-2010-0425, CVE-2010-0434, CVE-2010-2068, CVE-2011-0419, CVE-2011-3348, CVE-2012-2687, CVE-2013-2461, CVE-2013-3755, CVE-2013-3763, CVE-2013-3764, CVE-2013-3769, CVE-2013-3770, CVE-2013-3772, VIGILANCE-VUL-13129.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Oracle JRockit, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2013-2461]

Un attaquant peut employer une vulnérabilité de Oracle Endeca Server, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2013-3763]

Un attaquant peut employer une vulnérabilité de Oracle Endeca Server, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-61224, CVE-2013-3764]

Un attaquant peut employer une vulnérabilité de WebCenter, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2013-3770]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations. [grav:2/4; CVE-2010-2068]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2007-3847]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2008-2364]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations. [grav:2/4; CVE-2010-0425]

Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'altérer des informations. [grav:2/4; CVE-2013-3755]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2006-5752]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2007-6388]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2007-5000]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2012-2687]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2011-3348]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2011-0419]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2005-3352]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations. [grav:2/4; CVE-2010-0434]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Content, afin d'altérer des informations. [grav:2/4; CVE-2013-3769]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Content, afin d'altérer des informations. [grav:2/4; CVE-2013-3772]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2007-1862 CVE-2009-0023 CVE-2009-1191

Oracle Fusion Middleware : multiples vulnérabilités d'avril 2013

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU d'avril 2013.
Produits concernés : Oracle AS, Oracle Fusion Middleware, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 28.
Date création : 17/04/2013.
Références : BID-24553, BID-34663, BID-35221, BID-35251, BID-35253, BID-35565, BID-36596, BID-38491, BID-38494, BID-40827, BID-42102, BID-52107, BID-54156, BID-59086, BID-59087, BID-59091, BID-59095, BID-59097, BID-59099, BID-59101, BID-59102, BID-59105, BID-59107, BID-59110, BID-59112, BID-59115, BID-59122, BID-59132, BID-59140, CERTA-2013-AVI-247, cpuapr2013, CVE-2007-1862, CVE-2009-0023, CVE-2009-1191, CVE-2009-1890, CVE-2009-1955, CVE-2009-1956, CVE-2009-2699, CVE-2010-0408, CVE-2010-2068, CVE-2010-2791, CVE-2012-0841, CVE-2012-2751, CVE-2012-4303, CVE-2013-1497, CVE-2013-1503, CVE-2013-1504, CVE-2013-1509, CVE-2013-1514, CVE-2013-1516, CVE-2013-1522, CVE-2013-1529, CVE-2013-1542, CVE-2013-1545, CVE-2013-1553, CVE-2013-1559, CVE-2013-1565, CVE-2013-2380, CVE-2013-2390, VIGILANCE-VUL-12680, ZDI-13-091, ZDI-13-094.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Oracle JRockit, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-59086, CVE-2013-2380]

Un attaquant peut construire des données XML complexes afin de mener un déni de service dans les applications liées à APR-util (VIGILANCE-VUL-8761). [grav:3/4; BID-35253, CVE-2009-1955]

Un attaquant peut employer une requête illicite afin de mener un déni de service de mod_proxy en mode reverse proxy (VIGILANCE-VUL-8837). [grav:3/4; BID-35565, CVE-2009-1890]

Un attaquant peut provoquer un débordement d'un seul octet dans la fonction apr_brigade_vprintf() d'Apache APR-util (VIGILANCE-VUL-8768). [grav:3/4; BID-35251, CVE-2009-1956]

Un attaquant peut employer une vulnérabilité de Oracle Web Services Manager, afin d'obtenir ou d'altérer des informations. [grav:3/4; BID-59099, CVE-2013-1553]

Un attaquant peut employer une vulnérabilité de Oracle GoldenGate Veridata, afin de mener un déni de service. [grav:2/4; BID-59101, CVE-2013-1565]

Un attaquant peut envoyer des données provoquant des collisions de stockage, afin de surcharger un service (VIGILANCE-VUL-11384). [grav:2/4; BID-52107, CVE-2012-0841]

Un attaquant peut obtenir des fragments de la mémoire lorsque mod_mem_cache est employé (VIGILANCE-VUL-6928). [grav:2/4; BID-24553, CVE-2007-1862]

Dans certains cas, le module mod_proxy_ajp peut retourner au client des données destinées à un autre utilisateur (VIGILANCE-VUL-8669). [grav:2/4; BID-34663, CVE-2009-1191]

Un attaquant peut ouvrir de nombreuses sessions lorsque Apache httpd est installé sous Solaris, afin de le stopper (VIGILANCE-VUL-9074). [grav:2/4; BID-36596, CVE-2009-2699]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; BID-59105, CVE-2013-1545]

Un attaquant peut provoquer un déni de service dans les modules mod_proxy_ajp et mod_isapi de Apache httpd (VIGILANCE-VUL-9487). [grav:2/4; BID-38491, BID-38494, CVE-2010-0408]

Lorsque mod_proxy est installé sur Unix, un attaquant peut obtenir des documents appartenant à la session d'un autre utilisateur (VIGILANCE-VUL-9801). [grav:2/4; BID-42102, CVE-2010-2791]

Lorsque mod_proxy_http est employé sur Netware, OS2 ou Windows, un attaquant peut obtenir des documents appartenant à la session d'un autre utilisateur (VIGILANCE-VUL-9705). [grav:2/4; BID-40827, CVE-2010-2068]

Un attaquant peut employer une vulnérabilité de Oracle COREid Access, afin d'altérer des informations. [grav:2/4; BID-59087, CVE-2013-1497]

Un attaquant peut employer une vulnérabilité de Oracle Containers for J2EE, afin d'altérer des informations. [grav:2/4; BID-59095, CVE-2013-1542]

Un attaquant peut mener un déni de service dans les applications utilisant apr_strmatch de APR-util (VIGILANCE-VUL-8766). [grav:2/4; BID-35221, CVE-2009-0023]

Un attaquant peut employer une requête HTTP multipart/form-data spéciale, afin de contourner les règles de sécurité de ModSecurity (VIGILANCE-VUL-11719). [grav:2/4; BID-54156, CVE-2012-2751]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Content, afin d'altérer des informations. [grav:2/4; BID-59110, CVE-2013-1522]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Interaction, afin d'altérer des informations. [grav:2/4; BID-59091, CVE-2013-1529]

Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'altérer des informations. [grav:2/4; BID-59115, CVE-2013-1504]

Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'altérer des informations. [grav:2/4; BID-59097, CVE-2013-2390]

Un attaquant peut employer une vulnérabilité de Oracle Containers for J2EE, afin d'altérer des informations. [grav:2/4; BID-59102, CVE-2013-1514]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Capture, afin de mener un déni de service. [grav:2/4; BID-59112, CVE-2013-1516, ZDI-13-091]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Content, afin de mener un déni de service. [grav:2/4; BID-59122, CVE-2013-1559, ZDI-13-094]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Sites, afin d'altérer des informations. [grav:2/4; BID-59132, CVE-2013-1509]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Content, afin d'altérer des informations. [grav:2/4; BID-59107, CVE-2013-1503]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Content, afin d'obtenir des informations. [grav:2/4; BID-59140, CVE-2012-4303]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2011-5035 CVE-2012-0022 CVE-2012-1677

Oracle Fusion Middleware : multiples vulnérabilités de janvier 2013

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU de janvier 2013.
Produits concernés : Oracle AS, Oracle Fusion Middleware, WebLogic.
Gravité : 2/4.
Conséquences : création/modification de données, déni de service du serveur.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 16/01/2013.
Références : BID-57342, BID-57348, CERTA-2013-AVI-041, cpujan2013, CVE-2011-5035, CVE-2012-0022, CVE-2012-1677, CVE-2012-5097, VIGILANCE-VUL-12332.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Management Pack for Oracle GoldenGate, afin de mener un déni de service. [grav:2/4; CVE-2012-0022]

Un attaquant peut employer une vulnérabilité de Oracle GoldenGate Veridata, afin de mener un déni de service. [grav:2/4; CVE-2012-0022]

Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin de mener un déni de service (VIGILANCE-VUL-11254). [grav:2/4; CVE-2011-5035]

Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'altérer des informations. [grav:2/4; BID-57348, CVE-2012-5097]

Un attaquant peut employer une vulnérabilité de Oracle Application Server Single Sign-On, afin d'altérer des informations. [grav:2/4; BID-57342, CVE-2012-1677]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2011-3368 CVE-2011-3562 CVE-2011-4317

Oracle Fusion Middleware : multiples vulnérabilités de juillet 2012

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU de juillet 2012.
Produits concernés : Oracle AS, Oracle Fusion Middleware, Oracle Identity Management, Oracle Portal.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 18/07/2012.
Références : BID-54492, BID-54494, BID-54495, BID-54514, BID-54516, BID-54520, CERTA-2012-AVI-393, cpujul2012, CVE-2011-3368, CVE-2011-3562, CVE-2011-4317, CVE-2012-1736, CVE-2012-1741, CVE-2012-1749, CVE-2012-3115, CVE-2012-3135, VIGILANCE-VUL-11776.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Oracle JRockit, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54494, CVE-2012-3135]

Un attaquant peut employer une vulnérabilité de Enterprise Manager for Fusion Middleware, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-54492, CVE-2012-1741]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations. [grav:2/4; CVE-2011-3368]

Un attaquant peut employer une vulnérabilité de Oracle MapViewer, afin d'obtenir des informations. [grav:2/4; BID-54514, CVE-2012-1736]

Un attaquant peut employer une vulnérabilité de Oracle MapViewer, afin d'obtenir des informations. [grav:2/4; BID-54516, CVE-2012-1749]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2011-4317]

Un attaquant peut employer une vulnérabilité de Oracle MapViewer, afin d'altérer des informations. [grav:2/4; BID-54520, CVE-2012-3115]

Un attaquant peut employer une vulnérabilité de Portal, afin d'altérer des informations. [grav:2/4; BID-54495, CVE-2011-3562]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2012-0515 CVE-2012-0522 CVE-2012-0532

Oracle Fusion Middleware : multiples vulnérabilités d'avril 2012

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU d'avril 2012.
Produits concernés : Oracle AS, Oracle Fusion Middleware, Oracle Identity Management, Oracle OIT.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 11.
Date création : 18/04/2012.
Références : BID-53053, BID-53054, BID-53060, BID-53062, BID-53069, BID-53070, BID-53079, BID-53082, BID-53083, BID-53087, CERTA-2012-AVI-220, cpuapr2012, CVE-2012-0515, CVE-2012-0522, CVE-2012-0532, CVE-2012-0543, CVE-2012-0554, CVE-2012-0555, CVE-2012-0556, CVE-2012-0557, CVE-2012-1695, CVE-2012-1709, CVE-2012-1710, VIGILANCE-VUL-11550, ZDI-12-073, ZDI-12-074, ZDI-12-150, ZDI-12-151, ZDI-12-152, ZDI-12-202.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Oracle JRockit, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2012-1695]

Un attaquant peut employer une vulnérabilité de Oracle Outside In Technology, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-53069, CVE-2012-0554]

Un attaquant peut employer une vulnérabilité de Oracle Outside In Technology, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-53070, CVE-2012-0555]

Un attaquant peut employer une vulnérabilité de Oracle Outside In Technology, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-53087, CVE-2012-0556]

Un attaquant peut employer une vulnérabilité de Oracle Outside In Technology, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-53054, CVE-2012-0557]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Forms Recognition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-53082, CVE-2012-1709, ZDI-12-074]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Forms Recognition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-53062, CVE-2012-1710, ZDI-12-073]

Un attaquant peut employer une vulnérabilité de Identity Manager, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-53060, CVE-2012-0532]

Un attaquant peut employer une vulnérabilité de BI Publisher (XML Publisher), afin d'altérer des informations. [grav:2/4; BID-53083, CVE-2012-0543]

Un attaquant peut employer une vulnérabilité de Oracle JDeveloper, afin d'altérer des informations. [grav:2/4; BID-53053, CVE-2012-0522]

Un attaquant peut employer une vulnérabilité de Identity Manager Connector, afin d'altérer des informations. [grav:2/4; BID-53079, CVE-2012-0515]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2011-3414 CVE-2011-4461 CVE-2011-4462

Multiple : déni de service via collision de hachés

Synthèse de la vulnérabilité

Un attaquant peut envoyer des données provoquant des collisions de stockage, afin de surcharger un service.
Produits concernés : CheckPoint Endpoint Security, CheckPoint Security Gateway, Debian, Fedora, WebSphere AS Traditional, IIS, .NET Framework, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows Vista, Windows XP, Snap Creator Framework, openSUSE, Oracle AS, Oracle Communications, Oracle DB, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Oracle iPlanet Web Server, Tuxedo, WebLogic, Oracle Web Tier, RHEL.
Gravité : 3/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 11.
Date création : 28/12/2011.
Date révision : 22/02/2012.
Références : 1506603, 2638420, 2659883, BID-51186, BID-51194, BID-51195, BID-51196, BID-51197, BID-51199, BID-51235, BID-51441, CERTA-2011-AVI-727, CERTA-2011-AVI-728, cpujul2018, CVE-2011-3414, CVE-2011-4461, CVE-2011-4462, CVE-2011-4885, CVE-2011-5034, CVE-2011-5035, CVE-2011-5036, CVE-2011-5037, CVE-2012-0039, CVE-2012-0193, CVE-2012-0839, DSA-2783-1, DSA-2783-2, FEDORA-2012-0730, FEDORA-2012-0752, MS11-100, n.runs-SA-2011.004, NTAP-20190307-0004, oCERT-2011-003, openSUSE-SU-2012:0262-1, PM53930, RHSA-2012:1604-01, RHSA-2012:1605-01, RHSA-2012:1606-01, RHSA-2013:1455-01, RHSA-2013:1456-01, sk66350, VIGILANCE-VUL-11254, VU#903934.

Description de la vulnérabilité

Une table de hachage permet de stocker des informations, sous la forme de clés pointant vers des valeurs. Chaque clé est convertie en un entier, qui sert à indexer la zone où stocker les données. Par exemple :
 - cléA est convertie en 34
 - cléB est convertie en 13
Les données sont alors stockées en position 34 et 13.

En général, ces clés génèrent des entiers uniformément répartis sur la zone de stockage (qui va par exemple de 0 à 99). Cependant, si un attaquant calcule ses clés afin qu'elles soient converties dans le même entier (par exemple 34), tous les données sont stockées au même endroit (à l'indice 34). Le temps d'accès à ces données est alors très long.

Un formulaire HTTP posté permet d'envoyer de nombreuses variables. Par exemple : var1=a, var2=b, etc. Les serveurs web stockent généralement ces variables dans une table de hachage. Cependant, si l'attaquant calcule ses clés (noms de variables) afin qu'elles soient toutes stockées au même endroit, il peut surcharger le serveur.

D'autres fonctionnalités, comme un analyseur JSON ou des services annexes, peuvent aussi servir de vecteur d'attaque.

Les produits suivants sont aussi affectés :
 - Apache APR (VIGILANCE-VUL-11380)
 - Apache Xerces-C++ (VIGILANCE-VUL-15082)
 - Apache Xerces Java (VIGILANCE-VUL-15083)
 - expat (VIGILANCE-VUL-11420)
 - Java Lightweight HTTP Server (VIGILANCE-VUL-11381)
 - Java Langage (VIGILANCE-VUL-11715)
 - libxml2 (VIGILANCE-VUL-11384)
 - PHP (VIGILANCE-VUL-11379)
 - Python (VIGILANCE-VUL-11416)
 - Ruby (VIGILANCE-VUL-11382)
 - Tomcat (VIGILANCE-VUL-11383)

Un attaquant peut donc envoyer des données provoquant des collisions de stockage, afin de surcharger un service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2011-3531 CVE-2011-3566 CVE-2011-3568

Oracle Fusion Middleware : multiples vulnérabilités de janvier 2012

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU de janvier 2012.
Produits concernés : Oracle AS, Oracle Fusion Middleware, Oracle OIT, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 11.
Date création : 18/01/2012.
Références : BID-50992, BID-51451, BID-51454, BID-51457, BID-51460, BID-51462, BID-51463, BID-51469, BID-51471, CERTA-2012-AVI-119, cpujan2012, CVE-2011-3531, CVE-2011-3566, CVE-2011-3568, CVE-2011-3569, CVE-2011-4516, CVE-2011-4517, CVE-2012-0077, CVE-2012-0083, CVE-2012-0084, CVE-2012-0085, CVE-2012-0110, VIGILANCE-VUL-11295, VU#738961, ZDI-12-017.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Search, afin d'obtenir ou d'altérer des informations. [grav:3/4; BID-51451, CVE-2012-0083]

Un attaquant peut employer une vulnérabilité de Web Services Security, afin d'obtenir ou d'altérer des informations. [grav:3/4; BID-51463, CVE-2011-3568]

Un attaquant peut employer une vulnérabilité de Web Services Security, afin de mener un déni de service. [grav:2/4; BID-51471, CVE-2011-3531]

Un attaquant peut employer une vulnérabilité de Web Services Security, afin d'obtenir des informations. [grav:2/4; BID-51462, CVE-2011-3569]

Un attaquant peut employer une vulnérabilité de Web Container, afin de mener un déni de service. [grav:2/4; BID-51469, CVE-2011-3566]

Un attaquant peut employer une vulnérabilité de JPEG 2000 Filter, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-11211). [grav:2/4; BID-50992, CVE-2011-4516]

Un attaquant peut employer une vulnérabilité de JPEG 2000 Filter, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-11211). [grav:2/4; BID-50992, CVE-2011-4517]

Un attaquant peut envoyer un fichier Lotus 123 malformé à une application utilisant Oracle Outside In, afin d'y exécuter du code (VIGILANCE-VUL-11304). [grav:2/4; CERTA-2012-AVI-119, CVE-2012-0110, VU#738961, ZDI-12-017]

Un attaquant peut employer une vulnérabilité de Content Server, afin d'altérer des informations. [grav:2/4; BID-51457, CVE-2012-0085]

Un attaquant peut employer une vulnérabilité de Content Server, afin d'altérer des informations. [grav:2/4; BID-51454, CVE-2012-0084]

Un attaquant peut employer une vulnérabilité de WLS-Console, afin d'altérer des informations. [grav:2/4; BID-51460, CVE-2012-0077]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2011-2237 CVE-2011-2255 CVE-2011-2314

Oracle Fusion : multiples vulnérabilités d'octobre 2011

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion sont corrigées dans le CPU d'octobre 2011.
Produits concernés : Oracle AS, Oracle Fusion Middleware, Oracle Identity Management, Oracle OIT, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 10.
Date création : 19/10/2011.
Références : BID-49303, BID-50198, BID-50202, BID-50205, BID-50206, BID-50207, BID-50209, BID-50210, BID-50212, BID-50213, CERTA-2011-AVI-488, CERTA-2011-AVI-490, CERTA-2011-AVI-494, CERTA-2011-AVI-530, CERTA-2011-AVI-560, CERTA-2011-AVI-586, CERTA-2012-AVI-221, cpuoct2011, CVE-2011-2237, CVE-2011-2255, CVE-2011-2314, CVE-2011-2318, CVE-2011-2319, CVE-2011-2320, CVE-2011-3192, CVE-2011-3510, CVE-2011-3523, CVE-2011-3541, VIGILANCE-VUL-11074, VU#405811.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion.

Un attaquant peut employer une vulnérabilité de Oracle WebLogic Portal, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-50205, CVE-2011-2255]

Un attaquant peut employer plusieurs requêtes parallèles utilisant Range ou Request-Range, afin de progressivement utiliser la mémoire du serveur Oracle HTTP Server (VIGILANCE-VUL-10944). [grav:2/4; BID-49303, CERTA-2011-AVI-488, CERTA-2011-AVI-490, CERTA-2011-AVI-494, CERTA-2011-AVI-530, CERTA-2011-AVI-560, CERTA-2012-AVI-221, CVE-2011-3192, VU#405811]

Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations. [grav:2/4; BID-50198, CVE-2011-2320]

Un attaquant peut employer une vulnérabilité de Oracle Business Intelligence Enterprise Edition, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-50213, CVE-2011-3510]

Un attaquant peut employer une vulnérabilité de Oracle Containers for J2EE, afin d'altérer des informations. [grav:2/4; BID-50202, CVE-2011-2314]

Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations. [grav:2/4; BID-50206, CVE-2011-2319]

Un attaquant peut employer une vulnérabilité de Oracle Web Services Manager, afin d'altérer des informations. [grav:2/4; BID-50212, CERTA-2011-AVI-586, CVE-2011-2237]

Un attaquant peut employer une vulnérabilité de Oracle Web Services Manager, afin d'altérer des informations. [grav:2/4; BID-50209, CVE-2011-3523]

Un attaquant peut employer une vulnérabilité de Oracle Outside In Technology, afin de mener un déni de service. [grav:1/4; BID-50207, CVE-2011-3541]

Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations. [grav:1/4; BID-50210, CVE-2011-2318]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2011-3192

Apache httpd : déni de service via Range ou Request-Range

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs requêtes parallèles utilisant Range ou Request-Range, afin de progressivement utiliser la mémoire du serveur.
Produits concernés : Apache httpd, CheckPoint Endpoint Security, IPSO, CheckPoint Security Gateway, CiscoWorks, Nexus par Cisco, NX-OS, Debian, BIG-IP Hardware, TMOS, Fedora, OpenView, OpenView NNM, HP-UX, Junos Space, Junos Space Network Management Platform, Mandriva Corporate, MES, Mandriva Linux, ePO, OpenSolaris, openSUSE, Oracle AS, Oracle Fusion Middleware, Solaris, RHEL, Slackware, SLES.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 24/08/2011.
Dates révisions : 24/08/2011, 26/08/2011, 14/09/2011.
Références : BID-49303, c02997184, c03011498, c03025215, CERTA-2011-AVI-493, cisco-sa-20110830-apache, CVE-2011-3192, DSA-2298-1, DSA-2298-2, FEDORA-2011-12715, HPSBMU02704, HPSBUX02702, HPSBUX02707, KB73310, MDVSA-2011:130, MDVSA-2011:130-1, openSUSE-SU-2011, openSUSE-SU-2011:0993-1, PSN-2013-02-846, RHSA-2011:1245-01, RHSA-2011:1294-01, RHSA-2011:1300-01, RHSA-2011:1329-01, RHSA-2011:1330-01, RHSA-2011:1369-01, sk65222, SSA:2011-252-01, SSRT100606, SSRT100619, SSRT100626, SUSE-SU-2011:1000-1, SUSE-SU-2011:1007-1, SUSE-SU-2011:1010-1, SUSE-SU-2011:1215-1, SUSE-SU-2011:1216-1, VIGILANCE-VUL-10944, VU#405811.

Description de la vulnérabilité

L'entête Range du protocole HTTP indique un intervalle d'octets que le serveur doit retourner. Par exemple, pour obtenir les 20 octets du document web situés entre le dixième et le trentième octet, puis les octets 50 à 60 :
  Range: bytes=10-30,50-60
L'entête Request-Range est le nom obsolète de Range.

Apache manipule les objets suivants :
 - bucket : zone de stockage abstraite de données (mémoire, fichier, etc.)
 - brigade : liste chaînée de buckets

Lorsque Apache httpd reçoit une requête contenant l'entête Range, il stocke chaque intervalle dans une "brigade". Cependant, si la liste d'intervalles est très grande, cette brigade consomme de nombreuses ressources mémoire.

Un attaquant peut donc employer plusieurs requêtes parallèles utilisant Range ou Request-Range, afin de progressivement utiliser la mémoire du serveur.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Oracle AS :