L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de PulseSecure Connect Secure

annonce de vulnérabilité CVE-2014-3823

Junos Pulse SSL VPN : clickjacking

Synthèse de la vulnérabilité

Un attaquant peut provoquer un clickjacking sur Junos Pulse SSL VPN, afin de forcer la victime à effectuer des opérations non voulues.
Produits concernés : IVE OS, Junos Pulse, MAG Series par Juniper, Juniper SA, Pulse Connect Secure.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 10/09/2014.
Références : CERTFR-2014-AVI-387, CVE-2014-3823, JSA10647, VIGILANCE-VUL-15332.

Description de la vulnérabilité

Le produit Junos Pulse SSL VPN dispose d'un service web.

Cependant, il n'utilise pas l'entête X-Frame-Options, qui interdit d'inclure les pages dans un cadre d'un autre site.

Un attaquant peut donc provoquer un clickjacking sur Junos Pulse SSL VPN, afin de forcer la victime à effectuer des opérations non voulues.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2007-5846

Net-SNMP : déni de service via GETBULK

Synthèse de la vulnérabilité

Un attaquant peut mener un déni de service en demandant de nombreuses données avec GETBULK.
Produits concernés : Debian, Fedora, Mandriva Corporate, Mandriva Linux, Mandriva NF, Net-SNMP, openSUSE, Pulse Connect Secure, RHEL, SLES, ESX.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Date création : 08/11/2007.
Références : 1712988, BID-26378, CVE-2007-5846, DSA-1483-1, FEDORA-2007-3019, MDKSA-2007:225, RHSA-2007:1045-01, SA43730, SUSE-SR:2007:025, VIGILANCE-VUL-7325, VMSA-2008-0007, VMSA-2008-0007.1, VMSA-2008-0007.2.

Description de la vulnérabilité

Le protocole SNMP définit plusieurs types de requêtes :
 - SET : modifie un paramètre
 - GET : obtient un paramètre
 - GETNEXT : obtient le paramètre suivant
 - GETBULK : répète GETNEXT, jusqu'à un maximum indiqué dans la requête

Cependant, il n'y a pas de limite sur le nombre de répétitions de GETBULK. Un attaquant peut donc, avec une seule requête, forcer le serveur SNMP à obtenir puis transférer de nombreuses données.

Un attaquant peut ainsi mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur PulseSecure Connect Secure :