| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier. |
|
 |
|
|
Vulnérabilités informatiques de Oracle Identity Management
Spring Framework : obtention d'information via Cross-Domain Requests
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Cross-Domain Requests de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 15/06/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-11040, VIGILANCE-VUL-26440.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Cross-Domain Requests de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : obtention d'information via Cross Site Tracing
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Cross Site Tracing de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 15/06/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-11039, VIGILANCE-VUL-26439.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Cross Site Tracing de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : déni de service via Large DH Parameter
Synthèse de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Large DH Parameter de OpenSSL, afin de mener un déni de service.
Produits concernés : Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, AIX, IBM i, Rational ClearCase, QRadar SIEM, Copssh, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, VirtualBox, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, XtraBackup, XtraDB Cluster, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Nessus, Ubuntu, X2GoClient.
Gravité : 2/4.
Conséquences : déni de service du client.
Provenance : serveur internet.
Date création : 12/06/2018.
Références : bulletinjul2018, CERTFR-2018-AVI-511, CERTFR-2018-AVI-607, cpujan2019, cpuoct2018, CVE-2018-0732, DLA-1449-1, DSA-4348-1, DSA-4355-1, ibm10719319, ibm10729805, ibm10738401, ibm10743283, ibm10874728, JSA10919, K21665601, openSUSE-SU-2018:1906-1, openSUSE-SU-2018:2117-1, openSUSE-SU-2018:2129-1, openSUSE-SU-2018:2667-1, openSUSE-SU-2018:2695-1, openSUSE-SU-2018:2816-1, openSUSE-SU-2018:2855-1, openSUSE-SU-2018:3013-1, openSUSE-SU-2018:3015-1, PAN-SA-2018-0015, RHSA-2018:3221-01, SSA:2018-226-01, SUSE-SU-2018:1887-1, SUSE-SU-2018:1968-1, SUSE-SU-2018:2036-1, SUSE-SU-2018:2041-1, SUSE-SU-2018:2207-1, SUSE-SU-2018:2647-1, SUSE-SU-2018:2683-1, SUSE-SU-2018:2812-1, SUSE-SU-2018:2956-1, SUSE-SU-2018:2965-1, SYMSA1462, TNS-2018-14, TNS-2018-17, USN-3692-1, USN-3692-2, VIGILANCE-VUL-26375.
Description de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Large DH Parameter de OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
Apache Batik : obtention d'information via AbstractDocument
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via AbstractDocument de Apache Batik, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Fedora, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 28/05/2018.
Références : cpujan2019, cpujul2018, cpuoct2018, CVE-2018-8013, DLA-1385-1, DSA-4215-1, FEDORA-2018-168af81706, FEDORA-2018-79792e0c64, USN-3661-1, VIGILANCE-VUL-26231.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via AbstractDocument de Apache Batik, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
curl : buffer overflow via FTP Shutdown Response
Synthèse de la vulnérabilité
Un attaquant peut provoquer un buffer overflow via FTP Shutdown Response de curl, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : OpenOffice, curl, Fedora, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Slackware, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : serveur internet.
Date création : 16/05/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-1000300, FEDORA-2018-9dc7338487, FEDORA-2018-fa01002d7e, openSUSE-SU-2018:1624-1, SSA:2018-136-01, USN-3648-1, VIGILANCE-VUL-26142.
Description de la vulnérabilité
Un attaquant peut provoquer un buffer overflow via FTP Shutdown Response de curl, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
curl : lecture de mémoire hors plage prévue via RTSP
Synthèse de la vulnérabilité
Un attaquant peut forcer la lecture à une adresse invalide via RTSP de curl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : OpenOffice, curl, Debian, Fedora, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : serveur internet.
Date création : 16/05/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-1000301, DLA-1379-1, DSA-4202-1, FEDORA-2018-9dc7338487, FEDORA-2018-fa01002d7e, ibm10743283, openSUSE-SU-2018:1344-1, openSUSE-SU-2018:1624-1, RHSA-2018:3157-01, RHSA-2018:3558-01, SSA:2018-136-01, SUSE-SU-2018:1327-1, SUSE-SU-2018:1478-1, USN-3648-1, VIGILANCE-VUL-26141.
Description de la vulnérabilité
Un attaquant peut forcer la lecture à une adresse invalide via RTSP de curl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : élévation de privilèges via Spring Security Method
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions via Spring Security Method de Spring Framework, afin d'élever ses privilèges.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 09/05/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-1258, VIGILANCE-VUL-26089.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions via Spring Security Method de Spring Framework, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : déni de service via Spring-messaging
Synthèse de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Spring-messaging de Spring Framework, afin de mener un déni de service.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 09/05/2018.
Références : cpujan2019, cpuoct2018, CVE-2018-1257, VIGILANCE-VUL-26088.
Description de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Spring-messaging de Spring Framework, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
jackson-databind : exécution de code via Deserializing
Synthèse de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via Deserializing de jackson-databind, afin d'exécuter du code.
Produits concernés : Debian, Avamar, NetWorker, Unisphere EMC, Oracle Communications, Oracle DB, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Puppet, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 04/05/2018.
Références : 521680, 521682, 527583, cpujan2019, cpujul2018, cpuoct2018, CVE-2018-7489, DSA-2018-096, DSA-2018-102, DSA-2018-207, DSA-4190-1, RHSA-2018:1447-01, RHSA-2018:1448-01, RHSA-2018:1449-01, RHSA-2018:1450-01, RHSA-2018:1451-01, RHSA-2018:2088-01, RHSA-2018:2089-01, RHSA-2018:2090-01, VIGILANCE-VUL-26043.
Description de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via Deserializing de jackson-databind, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : obtention d'information via RSA Constant Time Key Generation
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via RSA Constant Time Key Generation de OpenSSL, afin d'obtenir des informations sensibles.
Produits concernés : Debian, AIX, IBM i, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Nodejs Core, OpenBSD, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, VirtualBox, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, XtraBackup, XtraDB Cluster, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Nessus, Ubuntu, X2GoClient.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 17/04/2018.
Références : bulletinjul2018, CERTFR-2018-AVI-511, CERTFR-2018-AVI-607, cpujan2019, cpuoct2018, CVE-2018-0737, DLA-1449-1, DSA-4348-1, DSA-4355-1, ibm10729805, ibm10743283, JSA10919, openSUSE-SU-2018:2695-1, openSUSE-SU-2018:2957-1, openSUSE-SU-2018:3015-1, openSUSE-SU-2019:0152-1, PAN-SA-2018-0015, RHSA-2018:3221-01, SSA:2018-226-01, SUSE-SU-2018:2486-1, SUSE-SU-2018:2492-1, SUSE-SU-2018:2683-1, SUSE-SU-2018:2928-1, SUSE-SU-2018:2965-1, SUSE-SU-2018:3864-1, SUSE-SU-2019:0197-1, SUSE-SU-2019:0512-1, TNS-2018-14, TNS-2018-17, USN-3628-1, USN-3628-2, USN-3692-1, USN-3692-2, VIGILANCE-VUL-25884.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via RSA Constant Time Key Generation de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.
Consulter les informations sur Oracle Identity Management :
|