L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Oracle Directory Services Plus

vulnérabilité informatique CVE-2018-2893 CVE-2018-2894 CVE-2018-2900

Oracle Fusion Middleware : vulnérabilités de juillet 2018

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Produits concernés : Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Tuxedo, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 16.
Date création : 18/07/2018.
Références : cpujul2018, CVE-2018-2893, CVE-2018-2894, CVE-2018-2900, CVE-2018-2925, CVE-2018-2933, CVE-2018-2935, CVE-2018-2943, CVE-2018-2958, CVE-2018-2987, CVE-2018-2998, CVE-2018-3007, CVE-2018-3100, CVE-2018-3101, CVE-2018-3105, CVE-2018-3108, CVE-2018-3109, VIGILANCE-VUL-26765.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2018-8013

Apache Batik : obtention d'information via AbstractDocument

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via AbstractDocument de Apache Batik, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Fedora, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 28/05/2018.
Références : cpuapr2019, cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-8013, DLA-1385-1, DSA-4215-1, FEDORA-2018-168af81706, FEDORA-2018-79792e0c64, USN-3661-1, VIGILANCE-VUL-26231.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via AbstractDocument de Apache Batik, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-7489

jackson-databind : exécution de code via Deserializing

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Deserializing de jackson-databind, afin d'exécuter du code.
Produits concernés : Debian, Avamar, NetWorker, Unisphere EMC, Oracle Communications, Oracle DB, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Puppet, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 04/05/2018.
Références : 5048, 521680, 521682, 527583, cpuapr2019, cpujan2019, cpujul2018, cpuoct2018, CVE-2018-7489, DSA-2018-096, DSA-2018-102, DSA-2018-207, DSA-4190-1, RHSA-2018:1447-01, RHSA-2018:1448-01, RHSA-2018:1449-01, RHSA-2018:1450-01, RHSA-2018:1451-01, RHSA-2018:2088-01, RHSA-2018:2089-01, RHSA-2018:2090-01, VIGILANCE-VUL-26043.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Deserializing de jackson-databind, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-1275

Spring Framework : obtention d'information via Multipart Content

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 10/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1275, VIGILANCE-VUL-25828.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-1272

Spring Framework : obtention d'information via Multipart Content

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 06/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1272, RHSA-2018:2669-01, VIGILANCE-VUL-25785.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-1271

Spring Framework : traversée de répertoire via Spring MVC

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires via Spring MVC de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 06/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1271, RHSA-2018:2669-01, VIGILANCE-VUL-25784.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires via Spring MVC de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-1270

Spring Framework : exécution de code via spring-messaging

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via spring-messaging de Spring Framework, afin d'exécuter du code.
Produits concernés : Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Date création : 06/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1270, VIGILANCE-VUL-25783.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via spring-messaging de Spring Framework, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-0739

OpenSSL : déni de service via Recursive ASN.1

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Recursive ASN.1 de OpenSSL, afin de mener un déni de service.
Produits concernés : Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, Avamar, BIG-IP Hardware, TMOS, Fedora, AIX, IBM i, Rational ClearCase, QRadar SIEM, Tivoli Storage Manager, WebSphere MQ, MariaDB ~ précis, McAfee Email Gateway, MySQL Community, MySQL Enterprise, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, RHEL, stunnel, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Synology DSM, Synology DS***, Synology RS***, Ubuntu, X2GoClient.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 27/03/2018.
Références : 2015887, 524146, bulletinjan2019, CERTFR-2018-AVI-155, cpuapr2019, cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-0739, DLA-1330-1, DSA-2018-125, DSA-4157-1, DSA-4158-1, FEDORA-2018-1b4f1158e2, FEDORA-2018-40dc8b8b16, FEDORA-2018-76afaf1961, FEDORA-2018-9490b422e7, ibm10715641, ibm10717211, ibm10717405, ibm10717409, ibm10719319, ibm10733605, ibm10738249, ibm10874728, K08044291, N1022561, openSUSE-SU-2018:0936-1, openSUSE-SU-2018:1057-1, openSUSE-SU-2018:2208-1, openSUSE-SU-2018:2238-1, openSUSE-SU-2018:2524-1, openSUSE-SU-2018:2695-1, PAN-SA-2018-0015, RHSA-2018:3090-01, RHSA-2018:3221-01, SA166, SB10243, SSA-181018, SUSE-SU-2018:0902-1, SUSE-SU-2018:0905-1, SUSE-SU-2018:0906-1, SUSE-SU-2018:0975-1, SUSE-SU-2018:2072-1, SUSE-SU-2018:2158-1, SUSE-SU-2018:2683-1, Synology-SA-18:51, USN-3611-1, USN-3611-2, VIGILANCE-VUL-25666.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Recursive ASN.1 de OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-0733

OpenSSL : élévation de privilèges via HP-UX PA-RISC CRYPTO_memcmp

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via HP-UX PA-RISC CRYPTO_memcmp() de OpenSSL, afin d'élever ses privilèges.
Produits concernés : Fedora, IBM i, Tivoli Storage Manager, OpenSSL, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 27/03/2018.
Références : CERTFR-2018-AVI-155, cpuapr2019, cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-0733, FEDORA-2018-40dc8b8b16, FEDORA-2018-76afaf1961, ibm10717405, ibm10717409, N1022561, VIGILANCE-VUL-25665.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via HP-UX PA-RISC CRYPTO_memcmp() de OpenSSL, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-10026 CVE-2017-10033 CVE-2017-10034

Oracle Fusion Middleware : vulnérabilités de octobre 2017

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion Middleware.
Produits concernés : Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Server, Oracle OIT, Oracle Virtual Directory, WebLogic, Oracle Web Tier.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du service.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 23.
Date création : 18/10/2017.
Date révision : 29/01/2018.
Références : cpuoct2017, CVE-2017-10026, CVE-2017-10033, CVE-2017-10034, CVE-2017-10037, CVE-2017-10051, CVE-2017-10055, CVE-2017-10060, CVE-2017-10152, CVE-2017-10154, CVE-2017-10163, CVE-2017-10166, CVE-2017-10259, CVE-2017-10270, CVE-2017-10271, CVE-2017-10334, CVE-2017-10336, CVE-2017-10352, CVE-2017-10360, CVE-2017-10369, CVE-2017-10385, CVE-2017-10391, CVE-2017-10393, CVE-2017-10400, VIGILANCE-VUL-24164.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion Middleware.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Oracle Directory Services Plus :