L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Red Hat JBoss EAP

avis de vulnérabilité CVE-2017-12629

Apache Lucene : exécution de code via Solr

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Solr de Apache Lucene, afin d'exécuter du code.
Produits concernés : Debian, Fedora, RHEL, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 02/11/2017.
Références : CVE-2017-12629, DLA-1254-1, DSA-4124-1, FEDORA-2017-005f8f7f7d, FEDORA-2017-0929e71b41, FEDORA-2017-195e7ea9a8, FEDORA-2017-c7bdf540b4, FEDORA-2017-f1535b86fa, RHSA-2017:3123-01, RHSA-2017:3124-01, RHSA-2017:3244-01, RHSA-2017:3451-01, RHSA-2017:3452-01, RHSA-2018:0002-01, RHSA-2018:0003-01, RHSA-2018:0004-01, RHSA-2018:0005-01, VIGILANCE-VUL-24304.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Solr de Apache Lucene, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-7536

Hibernate Validator : élévation de privilèges via Reflective

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Reflective de Hibernate Validator, afin d'élever ses privilèges.
Produits concernés : JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : document.
Date création : 27/09/2017.
Références : CVE-2017-7536, RHSA-2017:2808-01, RHSA-2017:2809-01, RHSA-2017:2810-01, RHSA-2017:2811-01, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, RHSA-2018:2740-01, RHSA-2018:2741-01, RHSA-2018:2742-01, RHSA-2018:2743-01, RHSA-2018:3817-01, VIGILANCE-VUL-23924.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Reflective de Hibernate Validator, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-2582

Picketlink : obtention d'information via StaxParserUtil SAML

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via StaxParserUtil SAML de Picketlink, afin d'obtenir des informations sensibles.
Produits concernés : JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 27/09/2017.
Références : CVE-2017-2582, RHSA-2017:2808-01, RHSA-2017:2809-01, RHSA-2017:2810-01, RHSA-2017:2811-01, RHSA-2017:3216-01, RHSA-2017:3217-01, RHSA-2017:3218-01, RHSA-2017:3219-01, RHSA-2017:3220-01, RHSA-2018:2740-01, RHSA-2018:2741-01, RHSA-2018:2742-01, RHSA-2018:2743-01, RHSA-2019:0136-01, RHSA-2019:0137-01, RHSA-2019:0139-01, VIGILANCE-VUL-23923.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via StaxParserUtil SAML de Picketlink, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-9798

Apache httpd : obtention d'information via htaccess Limit Optionsbleed

Synthèse de la vulnérabilité

Lorsque Apache httpd héberge un fichier .htaccess contenant l'option Limit, une requête OPTIONS permet d'obtenir un extrait de la mémoire du service.
Produits concernés : Apache httpd, Mac OS X, Debian, Fedora, WebSphere AS Traditional, Junos Space, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Identity Management, Oracle iPlanet Web Server, Solaris, Tuxedo, WebLogic, Oracle Web Tier, RHEL, JBoss EAP par Red Hat, Slackware, Synology DSM, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 19/09/2017.
Références : 2009782, bulletinjan2018, CERTFR-2017-AVI-336, cpujan2018, cpujan2019, CVE-2017-9798, DLA-1102-1, DSA-3980-1, FEDORA-2017-a52f252521, HT208331, HT208394, JSA10838, openSUSE-SU-2017:2549-1, openSUSE-SU-2018:1057-1, RHSA-2017:2882-01, RHSA-2017:2972-01, RHSA-2017:3018-01, RHSA-2017:3113-01, RHSA-2017:3114-01, RHSA-2017:3239-01, RHSA-2017:3240-01, SSA:2017-261-01, Synology-SA-17:56, USN-3425-1, USN-3425-2, VIGILANCE-VUL-23863.

Description de la vulnérabilité

Lorsque Apache httpd héberge un fichier .htaccess contenant l'option Limit, une requête OPTIONS permet d'obtenir un extrait de la mémoire du service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-7561

JBoss RESTEasy : vulnérabilité via HTTP Vary Header

Synthèse de la vulnérabilité

Une vulnérabilité via HTTP Vary Header de JBoss RESTEasy a été annoncée.
Produits concernés : RESTEasy JBoss OpenSource, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Date création : 14/09/2017.
Références : CVE-2017-7561, RESTEASY-1704, RHSA-2018:0002-01, RHSA-2018:0003-01, RHSA-2018:0004-01, RHSA-2018:0005-01, RHSA-2018:0478-01, RHSA-2018:0479-01, RHSA-2018:0480-01, RHSA-2018:0481-01, VIGILANCE-VUL-23840.

Description de la vulnérabilité

Une vulnérabilité via HTTP Vary Header de JBoss RESTEasy a été annoncée.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2014-9970

Jasypt : obtention d'information via Password Hash Comparison

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Password Hash Comparison de Jasypt, afin d'obtenir des informations sensibles.
Produits concernés : JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 31/08/2017.
Références : CVE-2014-9970, RHSA-2017:2546-01, RHSA-2017:2547-01, RHSA-2017:2808-01, RHSA-2017:2809-01, RHSA-2017:2810-01, RHSA-2017:2811-01, RHSA-2018:0294-01, VIGILANCE-VUL-23641.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Password Hash Comparison de Jasypt, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-6311

JBoss Enterprise Application Platform : obtention d'information via Internal IP Address

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Internal IP Address de JBoss Enterprise Application Platform, afin d'obtenir des informations sensibles.
Produits concernés : JBoss EAP par Red Hat.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 23/08/2017.
Références : 1362735, CVE-2016-6311, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, VIGILANCE-VUL-23596.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Internal IP Address de JBoss Enterprise Application Platform, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-7525

jackson-databind : exécution de code via ObjectMapper readValue

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via ObjectMapper readValue() de jackson-databind, afin d'exécuter du code.
Produits concernés : Debian, Fedora, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Tuxedo, Oracle Virtual Directory, WebLogic, Puppet, RHEL, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 01/08/2017.
Références : cpuapr2018, cpujan2019, cpujul2018, cpuoct2018, CVE-2017-7525, DSA-4004-1, FEDORA-2017-6a75c816fa, FEDORA-2017-8df9efed5f, FEDORA-2017-f452765e1e, FEDORA-2018-bbf8c38b51, FEDORA-2018-e4b025841e, ibm10715641, ibm10738249, RHSA-2017:1834-01, RHSA-2017:1835-01, RHSA-2017:1836-01, RHSA-2017:1837-01, RHSA-2017:1839-01, RHSA-2017:1840-01, RHSA-2017:2477-01, RHSA-2017:2546-01, RHSA-2017:2547-01, RHSA-2017:2633-01, RHSA-2017:2635-01, RHSA-2017:2636-01, RHSA-2017:2637-01, RHSA-2017:2638-01, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, RHSA-2018:0294-01, RHSA-2018:1447-01, RHSA-2018:1448-01, RHSA-2018:1449-01, RHSA-2018:1450-01, RHSA-2018:1451-01, VIGILANCE-VUL-23406.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via ObjectMapper readValue() de jackson-databind, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-4978

Apache ActiveMQ : exécution de code via Artemis Deserialization

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Artemis Deserialization de Apache ActiveMQ, afin d'exécuter du code.
Produits concernés : JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 01/08/2017.
Références : CVE-2016-4978, RHSA-2017:1834-01, RHSA-2017:1835-01, RHSA-2017:1836-01, RHSA-2017:1837-01, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, RHSA-2018:1447-01, RHSA-2018:1448-01, RHSA-2018:1449-01, RHSA-2018:1450-01, RHSA-2018:1451-01, VIGILANCE-VUL-23405.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Artemis Deserialization de Apache ActiveMQ, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-3163

Lucene Solr : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Lucene Solr, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Debian, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 31/07/2017.
Références : CVE-2017-3163, DLA-1046-1, DSA-4124-1, RHSA-2018:1447-01, RHSA-2018:1448-01, RHSA-2018:1449-01, RHSA-2018:1450-01, RHSA-2018:1451-01, VIGILANCE-VUL-23395.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de Lucene Solr, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Red Hat JBoss EAP :