L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Oracle Communications

bulletin de vulnérabilité informatique CVE-2012-1007

Apache Struts 1.3 : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Apache Struts 1.3, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Struts, Tivoli System Automation, WebSphere AS Traditional, Oracle Communications.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 17/10/2018.
Références : 2016214, cpuoct2018, CVE-2012-1007, ibm10719287, ibm10719297, ibm10719301, ibm10719303, ibm10719307, VIGILANCE-VUL-27508.

Description de la vulnérabilité

Le produit Apache Struts 1.3 dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Apache Struts 1.3, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-1000613

Bouncy Castle Java Cryptography Extension : vulnérabilité via XMSS Private Keys Deserialization

Synthèse de la vulnérabilité

Produits concernés : Bouncy Castle JCE, Fedora, openSUSE Leap, Oracle Communications.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/07/2018.
Références : cpujan2019, CVE-2018-1000613, FEDORA-2018-e6894349c9, openSUSE-SU-2018:2131-1, openSUSE-SU-2018:2180-1, VIGILANCE-VUL-26596.

Description de la vulnérabilité

Une vulnérabilité via XMSS Private Keys Deserialization de Bouncy Castle Java Cryptography Extension a été annoncée.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2018-11040

Spring Framework : obtention d'information via Cross-Domain Requests

Synthèse de la vulnérabilité

Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/06/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-11040, VIGILANCE-VUL-26440.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross-Domain Requests de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-11039

Spring Framework : obtention d'information via Cross Site Tracing

Synthèse de la vulnérabilité

Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/06/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-11039, VIGILANCE-VUL-26439.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross Site Tracing de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2018-0732

OpenSSL : déni de service via Large DH Parameter

Synthèse de la vulnérabilité

Produits concernés : Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, AIX, IBM i, Rational ClearCase, Copssh, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, MariaDB ~ précis, MySQL Community, MySQL Enterprise, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, VirtualBox, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, XtraBackup, XtraDB Cluster, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Nessus, Ubuntu, X2GoClient.
Gravité : 2/4.
Conséquences : déni de service du client.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/06/2018.
Références : bulletinjul2018, CERTFR-2018-AVI-511, CERTFR-2018-AVI-607, cpujan2019, cpuoct2018, CVE-2018-0732, DLA-1449-1, DSA-4348-1, DSA-4355-1, ibm10719319, ibm10729805, ibm10738401, ibm10743283, JSA10919, K21665601, openSUSE-SU-2018:1906-1, openSUSE-SU-2018:2117-1, openSUSE-SU-2018:2129-1, openSUSE-SU-2018:2667-1, openSUSE-SU-2018:2695-1, openSUSE-SU-2018:2816-1, openSUSE-SU-2018:2855-1, openSUSE-SU-2018:3013-1, openSUSE-SU-2018:3015-1, PAN-SA-2018-0015, RHSA-2018:3221-01, SSA:2018-226-01, SUSE-SU-2018:1887-1, SUSE-SU-2018:1968-1, SUSE-SU-2018:2036-1, SUSE-SU-2018:2041-1, SUSE-SU-2018:2207-1, SUSE-SU-2018:2647-1, SUSE-SU-2018:2683-1, SUSE-SU-2018:2812-1, SUSE-SU-2018:2956-1, SUSE-SU-2018:2965-1, SYMSA1462, TNS-2018-14, TNS-2018-17, USN-3692-1, USN-3692-2, VIGILANCE-VUL-26375.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Large DH Parameter de OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-1000180

Bouncy Castle : vulnérabilité via RSA Digital Signature Prime Generation

Synthèse de la vulnérabilité

Produits concernés : Bouncy Castle JCE, Debian, Fedora, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, WebLogic, JBoss EAP par Red Hat.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 06/06/2018.
Références : cpujan2019, CVE-2018-1000180, DSA-4233-1, FEDORA-2018-ceced55c5e, FEDORA-2018-da9fe79871, openSUSE-SU-2018:2820-1, RHSA-2018:2423-01, RHSA-2018:2424-01, RHSA-2018:2425-01, RHSA-2018:2669-01, VIGILANCE-VUL-26323.

Description de la vulnérabilité

Une vulnérabilité via RSA Digital Signature Prime Generation de Bouncy Castle a été annoncée.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2018-8013

Apache Batik : obtention d'information via AbstractDocument

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/05/2018.
Références : cpujan2019, cpujul2018, cpuoct2018, CVE-2018-8013, DLA-1385-1, DSA-4215-1, FEDORA-2018-168af81706, FEDORA-2018-79792e0c64, USN-3661-1, VIGILANCE-VUL-26231.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via AbstractDocument de Apache Batik, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2018-1000301

curl : lecture de mémoire hors plage prévue via RTSP

Synthèse de la vulnérabilité

Produits concernés : OpenOffice, curl, Debian, Fedora, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/05/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-1000301, DLA-1379-1, DSA-4202-1, FEDORA-2018-9dc7338487, FEDORA-2018-fa01002d7e, ibm10743283, openSUSE-SU-2018:1344-1, openSUSE-SU-2018:1624-1, RHSA-2018:3157-01, RHSA-2018:3558-01, SSA:2018-136-01, SUSE-SU-2018:1327-1, SUSE-SU-2018:1478-1, USN-3648-1, VIGILANCE-VUL-26141.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via RTSP de curl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-1258

Spring Framework : élévation de privilèges via Spring Security Method

Synthèse de la vulnérabilité

Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/05/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-1258, VIGILANCE-VUL-26089.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Spring Security Method de Spring Framework, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-1257

Spring Framework : déni de service via Spring-messaging

Synthèse de la vulnérabilité

Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/05/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-1257, VIGILANCE-VUL-26088.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Spring-messaging de Spring Framework, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Oracle Communications :