L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de RedHat Fedora

avis de vulnérabilité informatique CVE-2016-3125

ProFTPD : utilisation de DH 1024 bits par mod_tls

Synthèse de la vulnérabilité

Un attaquant peut potentiellement déchiffrer une session TLS de ProFTPD, afin d'obtenir le contenu de fichier transférés.
Produits concernés : Fedora, openSUSE, openSUSE Leap, ProFTPD.
Gravité : 2/4.
Date création : 11/03/2016.
Références : 4230, CVE-2016-3125, FEDORA-2016-977d57cf2d, FEDORA-2016-f95d8ea3ad, openSUSE-SU-2016:1334-1, openSUSE-SU-2016:1558-1, VIGILANCE-VUL-19159.

Description de la vulnérabilité

Le produit ProFTPD utilise le module mod_tls pour établir des sessions sécurisées par TLS.

L'administrateur peut employer le paramètre TLSDHParamFile pour indiquer un fichier contenant un groupe Diffie Hellman de 4096 bits par exemple. Cependant, ProFTPD utilise toujours son groupe de 1024 bits, qui est trop faible.

Un attaquant peut donc potentiellement déchiffrer une session TLS de ProFTPD, afin d'obtenir le contenu de fichier transférés.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2016-3115

OpenSSH : injection de commandes xauth

Synthèse de la vulnérabilité

Un attaquant disposant d'un compte accessible via OpenSSH, mais restreint et sans accès shell, peut transmettre des commandes à xauth via OpenSSH, afin de lire/écrire un fichier avec ses propres privilèges.
Produits concernés : Blue Coat CAS, Debian, Unisphere EMC, BIG-IP Hardware, TMOS, Fedora, FreeBSD, AIX, Copssh, NSM Central Manager, NSMXpress, Data ONTAP, OpenBSD, OpenSSH, openSUSE Leap, Solaris, RHEL, Slackware, Ubuntu.
Gravité : 1/4.
Date création : 10/03/2016.
Références : 000008913, 499797, bulletinapr2016, CERTFR-2016-AVI-097, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, CVE-2016-3115, DLA-1500-1, DLA-1500-2, ESA-2017-025, FEDORA-2016-188267b485, FEDORA-2016-bb59db3c86, FEDORA-2016-d339d610c1, FEDORA-2016-fc1cc33e05, FreeBSD-SA-16:14.openssh, JSA10774, K93532943, NTAP-20160519-0001, openSUSE-SU-2016:1455-1, RHSA-2016:0465-01, RHSA-2016:0466-01, SA121, SA126, SOL93532943, SSA:2016-070-01, USN-2966-1, VIGILANCE-VUL-19152.

Description de la vulnérabilité

L'utilitaire xauth gère les accréditations de l'utilisateur pour accéder à X11.

Lorsque X11Forwarding est activé dans sshd_config, le démon OpenSSH transmet les accréditations à xauth. Cependant, OpenSSH ne filtre pas les sauts de lignes contenus dans ces accréditations. Des commandes xauth peuvent ainsi être transmises à xauth. Ces commandes permettent de lire/écrire un fichier avec les privilèges de l'utilisateur, ou de se connecter sur un port.

Un attaquant disposant d'un compte accessible via OpenSSH, mais restreint et sans accès shell, peut donc transmettre des commandes à xauth via OpenSSH, afin de lire/écrire un fichier avec ses propres privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2016-3134 CVE-2016-3135

Noyau Linux : corruption de mémoire via IPT_SO_SET_REPLACE

Synthèse de la vulnérabilité

Un attaquant local avec CONFIG_USER_NS peut provoquer une corruption de mémoire via l'option IPT_SO_SET_REPLACE sur le noyau Linux, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, Android OS, Linux, netfilter, openSUSE, openSUSE Leap, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Date création : 10/03/2016.
Références : CERTFR-2016-AVI-099, CERTFR-2016-AVI-267, CERTFR-2016-AVI-278, CVE-2016-3134, CVE-2016-3135, DLA-516-1, DSA-3607-1, FEDORA-2016-02ed08bf15, FEDORA-2016-3a57b19360, openSUSE-SU-2016:1641-1, openSUSE-SU-2016:2144-1, openSUSE-SU-2016:2290-1, openSUSE-SU-2016:2649-1, RHSA-2016:1847-01, RHSA-2016:1875-01, RHSA-2016:1883-01, SUSE-SU-2016:1672-1, SUSE-SU-2016:1690-1, SUSE-SU-2016:1696-1, SUSE-SU-2016:1764-1, SUSE-SU-2016:1985-1, SUSE-SU-2016:2074-1, SUSE-SU-2016:2245-1, USN-2929-1, USN-2929-2, USN-2930-1, USN-2930-2, USN-2930-3, USN-2931-1, USN-2932-1, USN-3049-1, USN-3050-1, USN-3051-1, USN-3052-1, USN-3053-1, USN-3054-1, USN-3055-1, USN-3056-1, USN-3057-1, VIGILANCE-VUL-19150.

Description de la vulnérabilité

Le noyau Linux implémente l'option IPT_SO_SET_REPLACE de setsockopt() qui permet de modifier une règle de netfilter iptables. L'emploi de cette option ne nécessite pas de privilèges lorsque CONFIG_USER_NS=y.

Cependant, un attaquant peut créer une structure ipt_entry avec un champ next_offset trop grand, ce qui conduit à une corruption de mémoire.

Un attaquant local avec CONFIG_USER_NS peut donc provoquer une corruption de mémoire via l'option IPT_SO_SET_REPLACE sur le noyau Linux, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-2097 CVE-2016-2098

Rails : deux vulnérabilités de Action Pack

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Action Pack de Rails.
Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap, RHEL.
Gravité : 2/4.
Date création : 10/03/2016.
Références : CVE-2016-2097, CVE-2016-2098, DLA-604-1, DSA-3509-1, FEDORA-2016-3954061e32, FEDORA-2016-f6af14570f, openSUSE-SU-2016:0790-1, openSUSE-SU-2016:0835-1, RHSA-2016:0454-01, RHSA-2016:0455-01, RHSA-2016:0456-01, VIGILANCE-VUL-19146.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Rails.

Un attaquant peut traverser les répertoires dans Action View, afin de lire un fichier situé hors de la racine. [grav:2/4; CVE-2016-2097]

Un attaquant peut utiliser une vulnérabilité dans Render Method, afin d'exécuter du code. [grav:2/4; CVE-2016-2098]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2016-1285 CVE-2016-1286 CVE-2016-2088

ISC BIND : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ISC BIND.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, BIND, McAfee Email Gateway, openSUSE, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Date création : 10/03/2016.
Références : bulletinjan2016, c05087821, CVE-2016-1285, CVE-2016-1286, CVE-2016-2088, DSA-3511-1, FEDORA-2016-161b73fc2c, FEDORA-2016-364c0a9df4, FEDORA-2016-5047abe4a9, FEDORA-2016-b593e84223, FreeBSD-SA-16:13.bind, HPSBUX03583, openSUSE-SU-2016:0827-1, openSUSE-SU-2016:0830-1, openSUSE-SU-2016:0834-1, openSUSE-SU-2016:0859-1, RHSA-2016:0458-01, RHSA-2016:0459-01, RHSA-2016:0562-01, RHSA-2016:0601-01, SB10214, SOL62012529, SSA:2016-069-01, SSRT110084, SUSE-SU-2016:0759-1, SUSE-SU-2016:0780-1, SUSE-SU-2016:0825-1, USN-2925-1, VIGILANCE-VUL-19144.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ISC BIND.

Un attaquant peut provoquer une erreur d'assertion via rndc, afin de mener un déni de service. [grav:2/4; CVE-2016-1285]

Un attaquant peut provoquer une erreur d'assertion via DNAME, afin de mener un déni de service. [grav:3/4; CVE-2016-1286]

Un attaquant peut provoquer une erreur d'assertion via DNS Cookies, afin de mener un déni de service. [grav:3/4; CVE-2016-2088]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2016-3140

Noyau Linux : déréférencement de pointeur NULL via digi_acceleport

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans la fonction digi_acceleport() du noyau Linux, afin de mener un déni de service.
Produits concernés : Debian, Fedora, Linux, openSUSE, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Date création : 09/03/2016.
Références : CERTFR-2016-AVI-156, CERTFR-2016-AVI-159, CERTFR-2016-AVI-199, CVE-2016-3140, DLA-516-1, DSA-3607-1, FEDORA-2016-7e602c0e5e, FEDORA-2016-ed5110c4bb, openSUSE-SU-2016:1382-1, openSUSE-SU-2016:2144-1, openSUSE-SU-2016:2649-1, OS-S 2016-12, SUSE-SU-2016:1203-1, SUSE-SU-2016:1672-1, SUSE-SU-2016:1690-1, SUSE-SU-2016:1696-1, SUSE-SU-2016:1707-1, SUSE-SU-2016:1764-1, SUSE-SU-2016:2074-1, USN-2965-1, USN-2965-2, USN-2965-3, USN-2965-4, USN-2968-1, USN-2968-2, USN-2970-1, USN-2971-1, USN-2971-2, USN-2971-3, USN-2996-1, USN-2997-1, USN-3000-1, VIGILANCE-VUL-19142.

Description de la vulnérabilité

Le noyau Linux utilise différents pilotes pour gérer les matériels USB.

Cependant, si un périphérique USB malveillant est connecté, la fonction digi_acceleport() ne vérifie pas si un pointeur est NULL, avant de l'utiliser.

Un attaquant peut donc forcer le déréférencement d'un pointeur NULL dans la fonction digi_acceleport() du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2016-3136

Noyau Linux : déréférencement de pointeur NULL via mct_u232

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans la fonction mct_u232() du noyau Linux, afin de mener un déni de service.
Produits concernés : Debian, Fedora, Linux, openSUSE, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Date création : 09/03/2016.
Références : CERTFR-2016-AVI-156, CERTFR-2016-AVI-159, CERTFR-2016-AVI-199, CVE-2016-3136, DLA-516-1, DSA-3607-1, FEDORA-2016-7e602c0e5e, FEDORA-2016-ed5110c4bb, openSUSE-SU-2016:1382-1, openSUSE-SU-2016:2144-1, OS-S 2016-08, SUSE-SU-2016:1690-1, SUSE-SU-2016:1696-1, SUSE-SU-2016:1764-1, USN-2965-1, USN-2965-2, USN-2965-3, USN-2965-4, USN-2968-1, USN-2968-2, USN-2970-1, USN-2971-1, USN-2971-2, USN-2971-3, USN-2996-1, USN-2997-1, USN-3000-1, VIGILANCE-VUL-19140.

Description de la vulnérabilité

Le noyau Linux utilise différents pilotes pour gérer les matériels USB.

Cependant, si un périphérique USB malveillant est connecté, la fonction mct_u232() ne vérifie pas si un pointeur est NULL, avant de l'utiliser.

Un attaquant peut donc forcer le déréférencement d'un pointeur NULL dans la fonction mct_u232() du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2016-3137

Noyau Linux : déréférencement de pointeur NULL via cypress_m8

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans la fonction cypress_m8() du noyau Linux, afin de mener un déni de service.
Produits concernés : Debian, Fedora, Linux, openSUSE, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Date création : 09/03/2016.
Références : CERTFR-2016-AVI-156, CERTFR-2016-AVI-159, CERTFR-2016-AVI-199, CVE-2016-3137, DLA-516-1, DSA-3607-1, FEDORA-2016-7e602c0e5e, FEDORA-2016-ed5110c4bb, openSUSE-SU-2016:1382-1, openSUSE-SU-2016:2144-1, openSUSE-SU-2016:2649-1, OS-S 2016-07, SUSE-SU-2016:1203-1, SUSE-SU-2016:1672-1, SUSE-SU-2016:1690-1, SUSE-SU-2016:1696-1, SUSE-SU-2016:1707-1, SUSE-SU-2016:1764-1, SUSE-SU-2016:2074-1, USN-2965-1, USN-2965-2, USN-2965-3, USN-2965-4, USN-2968-1, USN-2968-2, USN-2970-1, USN-2971-1, USN-2971-2, USN-2971-3, USN-2996-1, USN-2997-1, USN-3000-1, VIGILANCE-VUL-19139.

Description de la vulnérabilité

Le noyau Linux utilise différents pilotes pour gérer les matériels USB.

Cependant, si un périphérique USB malveillant est connecté, la fonction cypress_m8() ne vérifie pas si un pointeur est NULL, avant de l'utiliser.

Un attaquant peut donc forcer le déréférencement d'un pointeur NULL dans la fonction cypress_m8() du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2016-3138

Noyau Linux : déréférencement de pointeur NULL via cdc_acm

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans la fonction cdc_acm() du noyau Linux, afin de mener un déni de service.
Produits concernés : Debian, Fedora, Linux, openSUSE, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Date création : 09/03/2016.
Références : CERTFR-2016-AVI-156, CERTFR-2016-AVI-159, CERTFR-2016-AVI-199, CVE-2016-3138, DLA-516-1, DSA-3607-1, FEDORA-2016-7e602c0e5e, FEDORA-2016-ed5110c4bb, openSUSE-SU-2016:1382-1, openSUSE-SU-2016:2144-1, openSUSE-SU-2016:2649-1, OS-S 2016-06, SUSE-SU-2016:1203-1, SUSE-SU-2016:1672-1, SUSE-SU-2016:1690-1, SUSE-SU-2016:1696-1, SUSE-SU-2016:1707-1, SUSE-SU-2016:1764-1, SUSE-SU-2016:2074-1, USN-2965-1, USN-2965-2, USN-2965-3, USN-2965-4, USN-2968-1, USN-2968-2, USN-2969-1, USN-2970-1, USN-2971-1, USN-2971-2, USN-2971-3, USN-2996-1, USN-2997-1, VIGILANCE-VUL-19138.

Description de la vulnérabilité

Le noyau Linux utilise différents pilotes pour gérer les matériels USB.

Cependant, si un périphérique USB malveillant est connecté, la fonction cdc_acm() ne vérifie pas si un pointeur est NULL, avant de l'utiliser.

Un attaquant peut donc forcer le déréférencement d'un pointeur NULL dans la fonction cdc_acm() du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2016-1950 CVE-2016-1952 CVE-2016-1953

Firefox, Thunderbird : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Firefox/Thunderbird.
Produits concernés : Debian, Fedora, Firefox, SeaMonkey, Thunderbird, openSUSE, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Date création : 09/03/2016.
Références : bulletinjul2018, CERTFR-2016-AVI-086, CVE-2016-1950, CVE-2016-1952, CVE-2016-1953, CVE-2016-1954, CVE-2016-1955, CVE-2016-1956, CVE-2016-1957, CVE-2016-1958, CVE-2016-1959, CVE-2016-1960, CVE-2016-1961, CVE-2016-1962, CVE-2016-1963, CVE-2016-1964, CVE-2016-1965, CVE-2016-1966, CVE-2016-1967, CVE-2016-1968, CVE-2016-1969, CVE-2016-1970, CVE-2016-1971, CVE-2016-1972, CVE-2016-1973, CVE-2016-1974, CVE-2016-1975, CVE-2016-1976, CVE-2016-1977, CVE-2016-1979, CVE-2016-2790, CVE-2016-2791, CVE-2016-2792, CVE-2016-2793, CVE-2016-2794, CVE-2016-2795, CVE-2016-2796, CVE-2016-2797, CVE-2016-2798, CVE-2016-2799, CVE-2016-2800, CVE-2016-2801, CVE-2016-2802, DSA-3510-1, DSA-3515-1, DSA-3520-1, FEDORA-2016-5b2c402bb1, FEDORA-2016-be6d3fff4a, FEDORA-2016-c1bad2b755, FEDORA-2016-d5c26081f3, FEDORA-2016-ddc8c5c950, FEDORA-2016-eacfc58fb9, MFSA-2016-16, MFSA-2016-17, MFSA-2016-18, MFSA-2016-19, MFSA-2016-20, MFSA-2016-21, MFSA-2016-22, MFSA-2016-23, MFSA-2016-24, MFSA-2016-25, MFSA-2016-26, MFSA-2016-27, MFSA-2016-28, MFSA-2016-29, MFSA-2016-30, MFSA-2016-31, MFSA-2016-32, MFSA-2016-33, MFSA-2016-34, MFSA-2016-35, MFSA-2016-36, MFSA-2016-37, MFSA-2016-38, openSUSE-SU-2016:0731-1, openSUSE-SU-2016:0733-1, openSUSE-SU-2016:0876-1, openSUSE-SU-2016:0894-1, openSUSE-SU-2016:1767-1, openSUSE-SU-2016:1769-1, openSUSE-SU-2016:1778-1, RHSA-2016:0373-01, RHSA-2016:0460-01, SSA:2016-068-01, SSA:2016-075-02, SSA:2016-106-01, SUSE-SU-2016:0727-1, SUSE-SU-2016:0777-1, SUSE-SU-2016:0820-1, SUSE-SU-2016:0909-1, SUSE-SU-2017:1175-1, SUSE-SU-2017:1248-1, USN-2917-1, USN-2917-2, USN-2917-3, USN-2934-1, VIGILANCE-VUL-19135, ZDI-16-198, ZDI-16-199.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Firefox/Thunderbird.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1952, CVE-2016-1953, MFSA-2016-16]

Un attaquant peut contourner les mesures de sécurité dans CSP Reports, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1954, MFSA-2016-17]

Un attaquant peut contourner les mesures de sécurité dans CSP Reports, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1955, MFSA-2016-18]

Un attaquant peut provoquer une erreur fatale dans Linux Video Memory, afin de mener un déni de service. [grav:2/4; CVE-2016-1956, MFSA-2016-19]

Un attaquant peut lire un fragment de la mémoire de libstagefright, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2016-1957, MFSA-2016-20]

Un attaquant peut modifier l'url affichée, afin de tromper l'utilisateur. [grav:2/4; CVE-2016-1958, MFSA-2016-21]

Un attaquant peut forcer la lecture à une adresse invalide dans Service Worker Manager, afin de mener un déni de service. [grav:3/4; CVE-2016-1959, MFSA-2016-22]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans HTML5 String Parser, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1960, MFSA-2016-23, ZDI-16-198]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans SetBody, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1961, MFSA-2016-24, ZDI-16-199]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans WebRTC Data Channels, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1962, MFSA-2016-25]

Un attaquant peut provoquer une corruption de mémoire dans FileReader, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-1963, MFSA-2016-26]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans XML Transformations, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1964, MFSA-2016-27]

Un attaquant peut altérer la barre d'adresse, afin de tromper l'utilisateur. [grav:2/4; CVE-2016-1965, MFSA-2016-28]

Un attaquant peut contourner les mesures de sécurité dans performance.getEntries, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1967, MFSA-2016-29]

Un attaquant peut provoquer un buffer overflow dans Brotli Decompression, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1968, MFSA-2016-30]

Un attaquant peut provoquer une corruption de mémoire dans NPAPI Plugin, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1966, MFSA-2016-31]

Une vulnérabilité inconnue a été annoncée dans WebRTC/LibVPX. [grav:2/4; CVE-2016-1970, CVE-2016-1971, CVE-2016-1972, CVE-2016-1975, CVE-2016-1976, MFSA-2016-32]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans WebRTC GetStaticInstance, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1973, MFSA-2016-33]

Un attaquant peut forcer la lecture à une adresse invalide dans HTML Parser, afin de mener un déni de service. [grav:3/4; CVE-2016-1974, MFSA-2016-34]

Un attaquant peut provoquer un buffer overflow dans ASN1 Certificate Parsing, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1950, MFSA-2016-35]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans PK11_ImportDERPrivateKeyInfoAndReturnKey(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1979, MFSA-2016-36]

Un attaquant peut utiliser plusieurs vulnérabilités dans Graphite 2, afin d'exécuter du code (VIGILANCE-VUL-19166). [grav:4/4; CVE-2016-1977, CVE-2016-2790, CVE-2016-2791, CVE-2016-2792, CVE-2016-2793, CVE-2016-2794, CVE-2016-2795, CVE-2016-2796, CVE-2016-2797, CVE-2016-2798, CVE-2016-2799, CVE-2016-2800, CVE-2016-2801, CVE-2016-2802, MFSA-2016-37]

Un attaquant peut provoquer une corruption de mémoire dans Graphite, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1969, MFSA-2016-38]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur RedHat Fedora :