L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Red Hat JBoss Enterprise Application Platform

alerte de vulnérabilité CVE-2017-6056

Apache Tomcat : boucle infinie via AbstractInputBuffer.java

Synthèse de la vulnérabilité

Un attaquant peut provoquer une boucle infinie via AbstractInputBuffer.java de Apache Tomcat, afin de mener un déni de service.
Gravité : 3/4.
Date création : 14/02/2017.
Références : 57544, 60578, 851304, CVE-2017-6056, DLA-823-1, DLA-823-2, DSA-3787-1, DSA-3787-2, DSA-3788-1, DSA-3788-2, RHSA-2017:0517-01, RHSA-2017:0826-01, RHSA-2017:0827-01, RHSA-2017:0828-01, RHSA-2017:0829-01, USN-3204-1, VIGILANCE-VUL-21825.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Apache Tomcat dispose d'un moteur JSP sur HTTP 1.1.

Cependant, la fonction nextRequest() du fichier java/org/apache/coyote/http11/AbstractInputBuffer.java ne gère pas correctement une position nulle.

Un attaquant peut donc provoquer une boucle infinie via AbstractInputBuffer.java de Apache Tomcat, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de menace informatique CVE-2016-8656

Red Hat JBoss EAP : élévation de privilèges via server.log

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via server.log de Red Hat JBoss EAP, afin d'élever ses privilèges.
Gravité : 2/4.
Date création : 03/02/2017.
Références : CVE-2016-8656, RHSA-2017:0244-01, RHSA-2017:0245-01, RHSA-2017:0246-01, RHSA-2017:0247-01, RHSA-2017:0250-01, RHSA-2017:0830-01, RHSA-2017:0831-01, RHSA-2017:0832-01, RHSA-2017:0834-01, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, RHSA-2018:1609-01, VIGILANCE-VUL-21759.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via server.log de Red Hat JBoss EAP, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte cybersécurité CVE-2016-8627

Red Hat JBoss EAP : déni de service via Log Files GET Requests

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Log Files GET Requests de Red Hat JBoss EAP, afin de mener un déni de service.
Gravité : 2/4.
Date création : 19/01/2017.
Références : CVE-2016-8627, RHSA-2017:0170-01, RHSA-2017:0171-01, RHSA-2017:0172-01, RHSA-2017:0173-01, RHSA-2017:0173-2, RHSA-2017:0244-01, RHSA-2017:0245-01, RHSA-2017:0246-01, RHSA-2017:0247-01, RHSA-2017:0250-01, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, VIGILANCE-VUL-21623.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Log Files GET Requests de Red Hat JBoss EAP, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité cybersécurité CVE-2016-7061

Red Hat JBoss EAP : obtention d'information via Domain Mode

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Domain Mode de Red Hat JBoss EAP, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 19/01/2017.
Références : CVE-2016-7061, RHSA-2017:0170-01, RHSA-2017:0171-01, RHSA-2017:0172-01, RHSA-2017:0173-01, RHSA-2017:0173-2, RHSA-2017:0244-01, RHSA-2017:0245-01, RHSA-2017:0246-01, RHSA-2017:0247-01, RHSA-2017:0250-01, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, VIGILANCE-VUL-21622.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Domain Mode de Red Hat JBoss EAP, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

menace cybersécurité CVE-2016-6816

Apache Tomcat : obtention d'information via HTTP Request Line

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via HTTP Request Line de Apache Tomcat, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 22/11/2016.
Références : 1999395, 1999474, 1999478, 1999479, 1999488, 1999532, 1999671, cpuoct2017, CVE-2016-6816, DLA-728-1, DLA-729-1, DSA-3738-1, DSA-3739-1, FEDORA-2016-98cca07999, FEDORA-2016-9c33466fbb, FEDORA-2016-a98c560116, K50116122, KM03302206, NTAP-20180605-0001, NTAP-20180607-0001, NTAP-20180607-0002, NTAP-20180614-0001, openSUSE-SU-2016:3129-1, openSUSE-SU-2016:3144-1, RHSA-2017:0244-01, RHSA-2017:0245-01, RHSA-2017:0246-01, RHSA-2017:0247-01, RHSA-2017:0250-01, RHSA-2017:0455-01, RHSA-2017:0456-01, RHSA-2017:0457-01, RHSA-2017:0527-01, RHSA-2017:0935-01, SOL50116122, SUSE-SU-2016:3079-1, SUSE-SU-2016:3081-1, SUSE-SU-2017:1632-1, SUSE-SU-2017:1660-1, USN-3177-1, USN-3177-2, VIGILANCE-VUL-21173.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via HTTP Request Line de Apache Tomcat, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-0762 CVE-2016-5018 CVE-2016-6794

Apache Tomcat : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Apache Tomcat.
Gravité : 2/4.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 27/10/2016.
Références : 1999395, 1999474, 1999478, 1999479, 1999488, 1999532, 1999671, bulletinoct2016, CVE-2016-0762, CVE-2016-5018, CVE-2016-6794, CVE-2016-6796, CVE-2016-6797, DLA-728-1, DLA-729-1, DSA-3720-1, DSA-3721-1, FEDORA-2016-4094bd4ad6, FEDORA-2016-c1b01b9278, NTAP-20180605-0001, NTAP-20180607-0001, NTAP-20180607-0002, NTAP-20180614-0001, openSUSE-SU-2016:3129-1, openSUSE-SU-2016:3144-1, RHSA-2017:0455-01, RHSA-2017:0456-01, RHSA-2017:0457-01, RHSA-2017:1548-01, RHSA-2017:1549-01, RHSA-2017:1550-01, RHSA-2017:1551-01, RHSA-2017:1552-01, RHSA-2017:1658-01, RHSA-2017:1659-01, RHSA-2017:2247-01, SUSE-SU-2016:3079-1, SUSE-SU-2016:3081-1, SUSE-SU-2017:1632-1, SUSE-SU-2017:1660-1, USN-3177-1, USN-3177-2, VIGILANCE-VUL-20976.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Apache Tomcat.

Un attaquant peut contourner les mesures de sécurité via SecurityManager, afin d'élever ses privilèges. [grav:2/4; CVE-2016-5018]

Un attaquant peut contourner les mesures de sécurité via Realm Timing, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-0762]

Un attaquant peut contourner les mesures de sécurité via System Property, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6794]

Un attaquant peut contourner les mesures de sécurité via SecurityManager, afin d'élever ses privilèges. [grav:2/4; CVE-2016-6796]

Un attaquant peut contourner les mesures de sécurité via Global Resources, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6797]
Bulletin Vigil@nce complet... (Essai gratuit)

faille cybersécurité CVE-2016-8610

OpenSSL : déni de service via SSL3_AL_WARNING

Synthèse de la vulnérabilité

Un attaquant peut envoyer des paquets SSL3_AL_WARNING vers une application SSLv3 liée à OpenSSL, afin de mener un déni de service.
Gravité : 2/4.
Date création : 24/10/2016.
Références : 1996096, 2000095, 2003480, 2003620, 2003673, 2004940, 2009389, bulletinoct2016, cpujul2019, CVE-2016-8610, DLA-814-1, DSA-3773-1, FEDORA-2017-3451dbec48, FEDORA-2017-e853b4144f, FreeBSD-SA-16:35.openssl, HPESBHF03897, JSA10808, JSA10809, JSA10810, JSA10811, JSA10813, JSA10814, JSA10816, JSA10817, JSA10818, JSA10820, JSA10821, JSA10822, JSA10825, openSUSE-SU-2017:0386-1, openSUSE-SU-2017:0487-1, openSUSE-SU-2018:4104-1, PAN-SA-2017-0017, pfSense-SA-17_03.webgui, RHSA-2017:0286-01, RHSA-2017:0574-01, RHSA-2017:1548-01, RHSA-2017:1549-01, RHSA-2017:1550-01, RHSA-2017:1551-01, RHSA-2017:1552-01, RHSA-2017:1658-01, RHSA-2017:1659-01, RHSA-2017:2493-01, RHSA-2017:2494-01, SA40886, SP-CAAAPUE, SPL-129207, SUSE-SU-2017:0304-1, SUSE-SU-2017:0348-1, SUSE-SU-2018:0112-1, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2018:3964-1, SUSE-SU-2018:3994-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:1553-1, USN-3181-1, USN-3183-1, USN-3183-2, VIGILANCE-VUL-20941.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit OpenSSL implémente le protocole SSL version 3.

Le message SSL3_AL_WARNING est utilisé pour émettre une alerte de niveau Warning. Cependant, lorsque ces paquets sont reçus durant le handshake, la bibliothèque consomme 100% de CPU.

Un attaquant peut donc envoyer des paquets SSL3_AL_WARNING vers une application SSLv3 liée à OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2016-7065

Red Hat JBoss EAP : exécution de code via JMX Servlet

Synthèse de la vulnérabilité

Un attaquant peut utiliser une désérialisation via JMX Servlet de Red Hat JBoss EAP, afin d'exécuter du code.
Gravité : 2/4.
Date création : 14/10/2016.
Références : 1382534, CVE-2016-7065, VIGILANCE-VUL-20871.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut utiliser une désérialisation via JMX Servlet de Red Hat JBoss EAP, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-4459

Apache mod_cluster : buffer overflow via JVMRoute

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via JVMRoute de Apache mod_cluster, afin de mener un déni de service, et éventuellement d'exécuter du code.
Gravité : 2/4.
Date création : 13/10/2016.
Références : 1341583, CVE-2016-4459, RHSA-2016:2054-01, RHSA-2016:2055-01, RHSA-2016:2056-01, VIGILANCE-VUL-20859.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Apache mod_cluster traite les messages JVMRoute via mod_manager.

Cependant, si la taille des données JVMRoute est supérieure à la taille du tableau de stockage, un débordement se produit.

Un attaquant peut donc provoquer un buffer overflow via JVMRoute de Apache mod_cluster, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-7046

JBoss Enterprise Application Platform : buffer overflow via Reverse Proxy

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via Reverse Proxy de JBoss Enterprise Application Platform, afin de mener un déni de service.
Gravité : 2/4.
Date création : 04/10/2016.
Références : 1376646, CVE-2016-7046, RHSA-2016:2640-01, RHSA-2016:2641-01, RHSA-2016:2642-01, RHSA-2016:2657-01, RHSA-2017:3454-01, RHSA-2017:3455-01, RHSA-2017:3456-01, RHSA-2017:3458-01, VIGILANCE-VUL-20757.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit JBoss Enterprise Application Platform dispose d'un service web.

Cependant, si la taille des données est supérieure à la taille du tableau de stockage, un débordement se produit.

Un attaquant peut donc provoquer un buffer overflow via Reverse Proxy de JBoss Enterprise Application Platform, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Red Hat JBoss Enterprise Application Platform :