L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Puppet Labs Puppet

vulnérabilité informatique CVE-2017-10689 CVE-2017-10690 CVE-2018-6508

Puppet Enterprise : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Puppet Enterprise.
Produits concernés : Fedora, openSUSE Leap, Puppet, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, lecture de données, création/modification de données, effacement de données.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 06/02/2018.
Références : CVE-2017-10689, CVE-2017-10690, CVE-2018-6508, FEDORA-2018-45d8b8ae21, openSUSE-SU-2018:0471-1, USN-3567-1, VIGILANCE-VUL-25225.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Puppet Enterprise.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-2579 CVE-2018-2581 CVE-2018-2582

Oracle Java : vulnérabilités de janvier 2018

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Produits concernés : Debian, Fedora, AIX, DB2 UDB, IBM i, IRAD, Rational ClearCase, Security Directory Server, QRadar SIEM, Tivoli Storage Manager, Tivoli System Automation, WebSphere AS Liberty, WebSphere AS Traditional, IBM WebSphere ESB, WebSphere MQ, Junos Space, ePO, Java OpenJDK, openSUSE Leap, Java Oracle, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 21.
Date création : 17/01/2018.
Références : 2013818, 2014315, 2015656, 2016042, 2016207, 2016278, 2016496, 2016502, CERTFR-2018-AVI-036, cpujan2018, CVE-2018-2579, CVE-2018-2581, CVE-2018-2582, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2627, CVE-2018-2629, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2638, CVE-2018-2639, CVE-2018-2641, CVE-2018-2657, CVE-2018-2663, CVE-2018-2675, CVE-2018-2677, CVE-2018-2678, DLA-1339-1, DSA-4144-1, DSA-4166-1, FEDORA-2018-223d8fc52a, FEDORA-2018-a82015aa02, FEDORA-2018-d50769efa0, FEDORA-2018-e2e52fb0bf, ibm10715641, ibm10717143, ibm10717207, ibm10718843, ibm10719115, ibm10719319, JSA10873, N1022544, openSUSE-SU-2018:0679-1, openSUSE-SU-2018:0684-1, RHSA-2018:0095-01, RHSA-2018:0099-01, RHSA-2018:0100-01, RHSA-2018:0115-01, RHSA-2018:0349-01, RHSA-2018:0351-01, RHSA-2018:0352-01, RHSA-2018:0458-01, RHSA-2018:0521-01, SB10225, SUSE-SU-2018:0630-1, SUSE-SU-2018:0645-1, SUSE-SU-2018:0661-1, SUSE-SU-2018:0663-1, SUSE-SU-2018:0665-1, SUSE-SU-2018:0694-1, USN-3613-1, USN-3614-1, VIGILANCE-VUL-25082.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2017-17485 CVE-2017-7525 CVE-2018-5968

Apache Struts : exécution de code via com.fasterxml.jackson

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité (VIGILANCE-VUL-23406) de com.fasterxml.jackson de Apache Struts, afin d'exécuter du code.
Produits concernés : Struts, Debian, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Puppet, JBoss EAP par Red Hat.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 12/12/2017.
Références : CERTFR-2017-AVI-470, cpuapr2018, cpuapr2019, cpujan2019, cpujul2018, cpuoct2018, CVE-2017-17485, CVE-2017-7525, CVE-2018-5968, DSA-4037-1, DSA-4114-1, ibm10715641, ibm10738249, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, RHSA-2018:0294-01, RHSA-2018:0478-01, RHSA-2018:0479-01, RHSA-2018:0480-01, RHSA-2018:0481-01, RHSA-2018:1447-01, RHSA-2018:1448-01, RHSA-2018:1449-01, RHSA-2018:1450-01, RHSA-2018:1451-01, RHSA-2018:2930-01, S2-055, VIGILANCE-VUL-24732.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité (VIGILANCE-VUL-23406) de com.fasterxml.jackson de Apache Struts, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2017-2299

puppetlabs-apache : élévation de privilèges via TLS Trust Misconfiguration

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via TLS Trust Misconfiguration de puppetlabs-apache, afin d'élever ses privilèges.
Produits concernés : Puppet.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : document.
Date création : 08/11/2017.
Références : CVE-2017-2299, VIGILANCE-VUL-24392.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via TLS Trust Misconfiguration de puppetlabs-apache, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-7525

jackson-databind : exécution de code via ObjectMapper readValue

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via ObjectMapper readValue() de jackson-databind, afin d'exécuter du code.
Produits concernés : Debian, Fedora, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Puppet, RHEL, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 01/08/2017.
Références : cpuapr2018, cpuapr2019, cpujan2019, cpujul2018, cpuoct2018, CVE-2017-7525, DSA-4004-1, FEDORA-2017-6a75c816fa, FEDORA-2017-8df9efed5f, FEDORA-2017-f452765e1e, FEDORA-2018-bbf8c38b51, FEDORA-2018-e4b025841e, ibm10715641, ibm10738249, RHSA-2017:1834-01, RHSA-2017:1835-01, RHSA-2017:1836-01, RHSA-2017:1837-01, RHSA-2017:1839-01, RHSA-2017:1840-01, RHSA-2017:2477-01, RHSA-2017:2546-01, RHSA-2017:2547-01, RHSA-2017:2633-01, RHSA-2017:2635-01, RHSA-2017:2636-01, RHSA-2017:2637-01, RHSA-2017:2638-01, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, RHSA-2018:0294-01, RHSA-2018:1447-01, RHSA-2018:1448-01, RHSA-2018:1449-01, RHSA-2018:1450-01, RHSA-2018:1451-01, VIGILANCE-VUL-23406.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via ObjectMapper readValue() de jackson-databind, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-2296

Puppet Enterprise : déni de service via RBAC/Classifier

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via RBAC/Classifier de Puppet Enterprise, afin de mener un déni de service.
Produits concernés : Puppet.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 23/06/2017.
Références : CVE-2017-2296, VIGILANCE-VUL-23077.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via RBAC/Classifier de Puppet Enterprise, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-2292 CVE-2017-2293 CVE-2017-2294

Puppet Labs Puppet : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Puppet Labs Puppet.
Produits concernés : Debian, Fedora, openSUSE Leap, Solaris, Puppet, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, lecture de données.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 12/05/2017.
Références : bulletinjul2018, CVE-2017-2292, CVE-2017-2293, CVE-2017-2294, CVE-2017-2295, CVE-2017-2297, DLA-1012-1, DSA-3862-1, FEDORA-2017-8ad8d1bd86, FEDORA-2017-b9b66117bb, openSUSE-SU-2017:1948-1, SUSE-SU-2017:2113-1, USN-3308-1, VIGILANCE-VUL-22719.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Puppet Labs Puppet.

Un attaquant peut utiliser une vulnérabilité du décodeur YAML, afin d'exécuter du code dans MCollective. [grav:3/4; CVE-2017-2292]

Un attaquant peut manipuler le serveur MCollective pour déployer des programmes arbitraires. [grav:2/4; CVE-2017-2293]

Un attaquant peut contourner les mesures de sécurité via MCollective Private Keys, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-2294]

Un attaquant peut utiliser une vulnérabilité du décodeur YAML, afin d'exécuter du code dans le serveur Puppet. [grav:3/4; CVE-2017-2295]

Un attaquant peut obtenir les droits d'un autre utilisateur. [grav:3/4; CVE-2017-2297]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-2290

Puppet mcollective-puppet-agent : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions de Puppet mcollective-puppet-agent, afin d'élever ses privilèges.
Produits concernés : Puppet.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 06/04/2017.
Références : CVE-2017-2290, VIGILANCE-VUL-22361.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions de Puppet mcollective-puppet-agent, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-9686

Puppet Labs Puppet : débordement de tampon

Synthèse de la vulnérabilité

Un attaquant peut provoquer un débordement de tampon de Puppet Labs Puppet, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Puppet.
Gravité : 1/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du service.
Provenance : client intranet.
Date création : 08/02/2017.
Références : CVE-2016-9686, VIGILANCE-VUL-21775.

Description de la vulnérabilité

Un attaquant peut provoquer un débordement de tampon de Puppet Labs Puppet, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-5714 CVE-2016-5715 CVE-2016-5716

Puppet : six vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Puppet.
Produits concernés : Puppet.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 6.
Date création : 17/10/2016.
Date révision : 21/10/2016.
Références : CVE-2016-5714, CVE-2016-5715, CVE-2016-5716, VIGILANCE-VUL-20883.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Puppet.

Un attaquant peut tromper l'utilisateur via Puppet Enterprise Console, afin de le rediriger vers un site malveillant. [grav:1/4; CVE-2016-5715]

Un attaquant peut utiliser une vulnérabilité via PXP, afin d'exécuter du code. [grav:3/4]

Un attaquant peut contourner les mesures de sécurité via PCP, afin d'élever ses privilèges. [grav:2/4]

Un attaquant peut utiliser une vulnérabilité via Puppet Enterprise Console, afin d'exécuter du code. [grav:3/4; CVE-2016-5716]

Un attaquant peut contourner les mesures de sécurité via Environment Catalogs, afin d'élever ses privilèges. [grav:2/4; CVE-2016-5714]

Un attaquant peut tester la validité d'un nom d'utilisateur, afin d'obtenir des informations sensibles. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Puppet Labs Puppet :