L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Oracle Identity Management

vulnérabilité CVE-2019-1559

OpenSSL 1.0.2 : obtention d'information via 0-byte Record Padding Oracle

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via 0-byte Record Padding Oracle de OpenSSL 1.0.2, afin d'obtenir des informations sensibles.
Produits concernés : SDS, SES, SNS, Blue Coat CAS, Debian, AIX, IBM i, Rational ClearCase, Tivoli Storage Manager, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, MariaDB ~ précis, McAfee Web Gateway, MySQL Community, MySQL Enterprise, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Fusion Middleware, Oracle Identity Management, Solaris, WebLogic, Percona Server, RHEL, SIMATIC, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 26/02/2019.
Références : bulletinapr2019, bulletinjul2019, CERTFR-2019-AVI-080, CERTFR-2019-AVI-132, CERTFR-2019-AVI-214, CERTFR-2019-AVI-325, cpuapr2019, cpujul2019, CVE-2019-1559, DLA-1701-1, DSA-4400-1, ibm10876638, ibm10886237, ibm10886659, JSA10949, openSUSE-SU-2019:1076-1, openSUSE-SU-2019:1105-1, openSUSE-SU-2019:1173-1, openSUSE-SU-2019:1175-1, openSUSE-SU-2019:1432-1, openSUSE-SU-2019:1637-1, RHBUG-1683804, RHBUG-1683807, RHSA-2019:2304-01, RHSA-2019:2471-01, SB10282, SSA:2019-057-01, SSB-439005, STORM-2019-001, SUSE-SU-2019:0572-1, SUSE-SU-2019:0600-1, SUSE-SU-2019:0658-1, SUSE-SU-2019:0803-1, SUSE-SU-2019:0818-1, SUSE-SU-2019:1362-1, SUSE-SU-2019:14091-1, SUSE-SU-2019:14092-1, SUSE-SU-2019:1553-1, SUSE-SU-2019:1608-1, SYMSA1490, TNS-2019-02, USN-3899-1, VIGILANCE-VUL-28600.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via 0-byte Record Padding Oracle de OpenSSL 1.0.2, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-5407

OpenSSL : obtention d'information via ECC Scalar Multiplication

Synthèse de la vulnérabilité

Sur un processeur Intel (VIGILANCE-VUL-27667), un attaquant peut mesurer le temps d'exécution de la multiplication scalaire ECC de OpenSSL, afin de retrouver la clé utilisée.
Produits concernés : Blue Coat CAS, Debian, BIG-IP Hardware, TMOS, AIX, IRAD, Rational ClearCase, QRadar SIEM, MariaDB ~ précis, MySQL Community, MySQL Enterprise, OpenBSD, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Solaris, Tuxedo, WebLogic, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 12/11/2018.
Références : bulletinjan2019, CERTFR-2018-AVI-607, CERTFR-2019-AVI-242, cpuapr2019, cpujan2019, cpujul2019, CVE-2018-5407, DLA-1586-1, DSA-4348-1, DSA-4355-1, ibm10794537, ibm10875298, ibm10886313, K49711130, openSUSE-SU-2018:3903-1, openSUSE-SU-2018:4050-1, openSUSE-SU-2018:4104-1, openSUSE-SU-2019:0088-1, openSUSE-SU-2019:0234-1, RHSA-2019:0483-01, RHSA-2019:2125-01, SSA:2018-325-01, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2018:3866-1, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:0117-1, SUSE-SU-2019:0395-1, SUSE-SU-2019:1553-1, SYMSA1490, TNS-2018-16, TNS-2018-17, USN-3840-1, VIGILANCE-VUL-27760.

Description de la vulnérabilité

Sur un processeur Intel (VIGILANCE-VUL-27667), un attaquant peut mesurer le temps d'exécution de la multiplication scalaire ECC de OpenSSL, afin de retrouver la clé utilisée.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-5407

Processeurs Intel : obtention d'information via SMT/Hyper-Threading PortSmash

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via SMT/Hyper-Threading PortSmash sur un processeurs Intel, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Avamar, BIG-IP Hardware, TMOS, AIX, IRAD, MariaDB ~ précis, Windows (plateforme) ~ non exhaustif, MySQL Community, MySQL Enterprise, OpenBSD, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Solaris, Tuxedo, WebLogic, Percona Server, XtraBackup, RHEL, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 05/11/2018.
Références : 530514, bulletinjan2019, CERTFR-2019-AVI-242, cpuapr2019, cpujan2019, cpujul2019, CVE-2018-5407, DSA-2018-030, DSA-4348-1, DSA-4355-1, ibm10794537, K49711130, openSUSE-SU-2018:4050-1, openSUSE-SU-2018:4104-1, openSUSE-SU-2019:0088-1, openSUSE-SU-2019:0234-1, RHSA-2019:2125-01, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:0117-1, SUSE-SU-2019:0395-1, SUSE-SU-2019:1553-1, USN-3840-1, VIGILANCE-VUL-27667.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via SMT/Hyper-Threading PortSmash sur un processeurs Intel, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-0734

OpenSSL : obtention d'information via DSA Signature Generation

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via DSA Signature Generation de OpenSSL, afin d'obtenir des informations sensibles.
Produits concernés : Debian, AIX, IRAD, Rational ClearCase, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Solaris, Tuxedo, WebLogic, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 30/10/2018.
Références : bulletinapr2019, bulletinjan2019, CERTFR-2018-AVI-607, cpuapr2019, cpujan2019, cpujul2019, CVE-2018-0734, DSA-4348-1, DSA-4355-1, ibm10794537, ibm10875298, openSUSE-SU-2018:3890-1, openSUSE-SU-2018:3903-1, openSUSE-SU-2018:4050-1, openSUSE-SU-2018:4104-1, openSUSE-SU-2019:0084-1, openSUSE-SU-2019:0088-1, openSUSE-SU-2019:0138-1, openSUSE-SU-2019:0234-1, openSUSE-SU-2019:1547-1, openSUSE-SU-2019:1814-1, RHSA-2019:2304-01, SSA:2018-325-01, SUSE-SU-2018:3863-1, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2018:3866-1, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:0117-1, SUSE-SU-2019:0395-1, SUSE-SU-2019:1553-1, TNS-2018-16, TNS-2018-17, USN-3840-1, VIGILANCE-VUL-27640.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via DSA Signature Generation de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2018-0735

OpenSSL : obtention d'information via ECDSA Signature Generation

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via ECDSA Signature Generation de OpenSSL, afin d'obtenir des informations sensibles.
Produits concernés : Blue Coat CAS, Debian, IRAD, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Fusion Middleware, Oracle Identity Management, Solaris, Tuxedo, WebLogic, SLES, Symantec Content Analysis, Ubuntu.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 29/10/2018.
Références : bulletinjan2019, cpuapr2019, cpujul2019, CVE-2018-0735, DLA-1586-1, DSA-4348-1, ibm10794537, openSUSE-SU-2018:3890-1, SUSE-SU-2018:3863-1, SYMSA1490, USN-3840-1, VIGILANCE-VUL-27631.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via ECDSA Signature Generation de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-15756

Spring Framework : déni de service via Complex Range Requests

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Complex Range Requests de Spring Framework, afin de mener un déni de service.
Produits concernés : QRadar SIEM, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, WebLogic, Percona Server, Spring Framework.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 17/10/2018.
Références : CERTFR-2019-AVI-331, cpujul2019, CVE-2018-15756, ibm10957141, VIGILANCE-VUL-27548.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Complex Range Requests de Spring Framework, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-14735 CVE-2018-2902 CVE-2018-2911

Oracle Fusion Middleware : vulnérabilités de octobre 2018

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Produits concernés : Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 22.
Date création : 17/10/2018.
Références : cpuoct2018, CVE-2017-14735, CVE-2018-2902, CVE-2018-2911, CVE-2018-3152, CVE-2018-3168, CVE-2018-3179, CVE-2018-3191, CVE-2018-3197, CVE-2018-3201, CVE-2018-3204, CVE-2018-3210, CVE-2018-3213, CVE-2018-3215, CVE-2018-3238, CVE-2018-3245, CVE-2018-3246, CVE-2018-3248, CVE-2018-3249, CVE-2018-3250, CVE-2018-3252, CVE-2018-3253, CVE-2018-3254, VIGILANCE-VUL-27506.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-1000613

Bouncy Castle Java Cryptography Extension : vulnérabilité via XMSS Private Keys Deserialization

Synthèse de la vulnérabilité

Une vulnérabilité via XMSS Private Keys Deserialization de Bouncy Castle Java Cryptography Extension a été annoncée.
Produits concernés : Bouncy Castle JCE, Fedora, Juniper SBR, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Tuxedo, WebLogic.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Date création : 02/07/2018.
Références : CERTFR-2019-AVI-325, cpuapr2019, cpujan2019, cpujul2019, CVE-2018-1000613, FEDORA-2018-e6894349c9, JSA10939, openSUSE-SU-2018:2131-1, openSUSE-SU-2018:2180-1, VIGILANCE-VUL-26596.

Description de la vulnérabilité

Une vulnérabilité via XMSS Private Keys Deserialization de Bouncy Castle Java Cryptography Extension a été annoncée.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-11040

Spring Framework : obtention d'information via Cross-Domain Requests

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross-Domain Requests de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 15/06/2018.
Références : cpuapr2019, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-11040, VIGILANCE-VUL-26440.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross-Domain Requests de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-11039

Spring Framework : obtention d'information via Cross Site Tracing

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross Site Tracing de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 15/06/2018.
Références : cpuapr2019, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-11039, VIGILANCE-VUL-26439.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross Site Tracing de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Oracle Identity Management :