| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier. |
|
 |
|
|
Vulnérabilités informatiques de SAS Management Console
Spring Framework : obtention d'information via Cross Site Tracing
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Cross Site Tracing de Spring Framework, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 15/06/2018.
Références : cpuapr2019, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-11039, VIGILANCE-VUL-26439.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Cross Site Tracing de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : déni de service via Spring-messaging
Synthèse de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Spring-messaging de Spring Framework, afin de mener un déni de service.
Gravité : 2/4.
Date création : 09/05/2018.
Références : cpuapr2019, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-1257, VIGILANCE-VUL-26088.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Spring-messaging de Spring Framework, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : obtention d'information via Multipart Content
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 10/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1275, VIGILANCE-VUL-25828.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : obtention d'information via Multipart Content
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Gravité : 2/4.
Date création : 06/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1272, RHSA-2018:2669-01, VIGILANCE-VUL-25785.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Multipart Content de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : traversée de répertoire via Spring MVC
Synthèse de la vulnérabilité
Un attaquant peut traverser les répertoires via Spring MVC de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Gravité : 2/4.
Date création : 06/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1271, RHSA-2018:2669-01, VIGILANCE-VUL-25784.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Un attaquant peut traverser les répertoires via Spring MVC de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : exécution de code via spring-messaging
Synthèse de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via spring-messaging de Spring Framework, afin d'exécuter du code.
Gravité : 3/4.
Date création : 06/04/2018.
Références : cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2018-1270, VIGILANCE-VUL-25783.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité via spring-messaging de Spring Framework, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
Apache Groovy : exécution de code
Synthèse de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité de Apache Groovy, afin d'exécuter du code.
Gravité : 2/4.
Date création : 23/01/2017.
Références : cpuapr2018, cpujan2018, cpujan2019, cpujul2019, cpuoct2017, CVE-2016-6814, DLA-794-1, FEDORA-2017-1ce2a05ff1, FEDORA-2017-33c8085c5d, FEDORA-2017-661dddc462, FEDORA-2017-cc0e0daf0f, RHSA-2017:0272-01, RHSA-2017:0868-01, RHSA-2017:2486-01, RHSA-2017:2596-01, VIGILANCE-VUL-21640.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Un attaquant peut utiliser une vulnérabilité de Apache Groovy, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
Spring Framework : traversée de répertoire via ResourceServlet
Synthèse de la vulnérabilité
Un attaquant peut traverser les répertoires via ResourceServlet de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Gravité : 2/4.
Date création : 22/12/2016.
Références : 1996375, 2015813, CST-7122, CST-7123, CST-7124, CST-7125, CST-7126, CST-7127, CST-7128, CST-7129, CST-7130, CST-7131, CVE-2016-9878, DLA-1853-1, FEDORA-2016-f341d71730, RHSA-2017:3115-01, VIGILANCE-VUL-21453.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Le produit Spring Framework dispose d'un service web.
Cependant, les données provenant de l'utilisateur sont directement insérées dans un chemin d'accès. Les séquences comme "/.." permettent alors de remonter dans l'arborescence.
Un attaquant peut donc traverser les répertoires via ResourceServlet de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : sept vulnérabilités
Synthèse de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 22/09/2016.
Références : 1991866, 1991867, 1991870, 1991871, 1991875, 1991876, 1991878, 1991880, 1991882, 1991884, 1991885, 1991886, 1991887, 1991889, 1991892, 1991894, 1991896, 1991902, 1991903, 1991951, 1991955, 1991959, 1991960, 1991961, 1992681, 1993777, 1996096, 1999395, 1999421, 1999474, 1999478, 1999479, 1999488, 1999532, 2000095, 2000209, 2000544, 2002870, 2003480, 2003620, 2003673, 2008828, bulletinapr2017, bulletinjul2016, bulletinoct2016, CERTFR-2016-AVI-320, CERTFR-2016-AVI-333, cisco-sa-20160927-openssl, cpuapr2017, cpuapr2018, cpujan2017, cpujan2018, cpujul2017, cpujul2019, cpuoct2017, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6305, CVE-2016-6306, CVE-2016-6307, CVE-2016-6308, DLA-637-1, DSA-3673-1, DSA-3673-2, FEDORA-2016-97454404fe, FEDORA-2016-a555159613, FG-IR-16-047, FG-IR-16-048, FG-IR-17-127, FreeBSD-SA-16:26.openssl, HPESBHF03856, HT207423, JSA10759, openSUSE-SU-2016:2391-1, openSUSE-SU-2016:2407-1, openSUSE-SU-2016:2496-1, openSUSE-SU-2016:2537-1, openSUSE-SU-2018:0458-1, RHSA-2016:1940-01, RHSA-2016:2802-01, RHSA-2017:1548-01, RHSA-2017:1549-01, RHSA-2017:1550-01, RHSA-2017:1551-01, RHSA-2017:1552-01, RHSA-2017:1658-01, RHSA-2017:1659-01, RHSA-2017:2493-01, RHSA-2017:2494-01, SA132, SA40312, SB10171, SB10215, SOL54211024, SOL90492697, SP-CAAAPUE, SPL-129207, SSA:2016-266-01, STORM-2016-005, SUSE-SU-2016:2387-1, SUSE-SU-2016:2394-1, SUSE-SU-2016:2458-1, SUSE-SU-2016:2468-1, SUSE-SU-2016:2469-1, SUSE-SU-2016:2470-1, SUSE-SU-2016:2470-2, TNS-2016-16, USN-3087-1, USN-3087-2, VIGILANCE-VUL-20678.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Plusieurs vulnérabilités ont été annoncées dans OpenSSL.
Un attaquant peut provoquer une surconsommation de mémoire via une requête OCSP, afin de mener un déni de service. [grav:3/4; CVE-2016-6304]
Un attaquant peut provoquer un blocage de processus dans SSL_peek, afin de mener un déni de service. [grav:2/4; CVE-2016-6305]
Un attaquant peut provoquer un buffer overflow via MDC2_Update, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:1/4; CVE-2016-6303]
Un attaquant peut provoquer un buffer overflow en lecture seule, afin de mener un déni de service. [grav:1/4; CVE-2016-6302]
Un attaquant peut provoquer un buffer overflow en lecture seule via le décodage d'un certificat X.509, afin de mener un déni de service. [grav:1/4; CVE-2016-6306]
Un attaquant peut provoquer une allocation excessive de mémoire pour des blocs TLS. [grav:1/4; CVE-2016-6307]
Un attaquant peut provoquer une allocation excessive de mémoire pour des blocs DTLS. [grav:1/4; CVE-2016-6308]
Bulletin Vigil@nce complet... (Essai gratuit) |
Blowfish, Triple-DES : algorithmes trop faibles, SWEET32
Synthèse de la vulnérabilité
Un attaquant peut créer une session TLS/VPN avec un algorithme Blowfish/Triple-DES, et mener une attaque de deux jours, afin de déchiffrer des données.
Gravité : 1/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 25/08/2016.
Références : 1610582, 1991866, 1991867, 1991870, 1991871, 1991875, 1991876, 1991878, 1991880, 1991882, 1991884, 1991885, 1991886, 1991887, 1991889, 1991892, 1991894, 1991896, 1991902, 1991903, 1991951, 1991955, 1991959, 1991960, 1991961, 1992681, 1993777, 1994375, 1995099, 1995922, 1998797, 1999054, 1999421, 2000209, 2000212, 2000370, 2000544, 2001608, 2002021, 2002335, 2002336, 2002479, 2002537, 2002870, 2002897, 2002991, 2003145, 2003480, 2003620, 2003673, 2004036, 2008828, 523628, 9010102, bulletinapr2017, c05349499, c05369403, c05369415, c05390849, CERTFR-2017-AVI-012, CERTFR-2019-AVI-049, CERTFR-2019-AVI-311, cisco-sa-20160927-openssl, cpuapr2017, cpujan2018, cpujul2017, cpujul2019, cpuoct2017, CVE-2016-2183, CVE-2016-6329, DSA-2018-124, DSA-2019-131, DSA-3673-1, DSA-3673-2, FEDORA-2016-7810e24465, FEDORA-2016-dc2cb4ad6b, FG-IR-16-047, FG-IR-16-048, FG-IR-17-127, FG-IR-17-173, HPESBGN03697, HPESBGN03765, HPESBUX03725, HPSBGN03690, HPSBGN03694, HPSBHF03674, ibm10718843, java_jan2017_advisory, JSA10770, KM03060544, NTAP-20160915-0001, openSUSE-SU-2016:2199-1, openSUSE-SU-2016:2391-1, openSUSE-SU-2016:2407-1, openSUSE-SU-2016:2496-1, openSUSE-SU-2016:2537-1, openSUSE-SU-2017:1638-1, openSUSE-SU-2018:0458-1, RHSA-2017:0336-01, RHSA-2017:0337-01, RHSA-2017:0338-01, RHSA-2017:3113-01, RHSA-2017:3114-01, RHSA-2017:3239-01, RHSA-2017:3240-01, RHSA-2018:2123-01, SA133, SA40312, SB10171, SB10186, SB10197, SB10215, SOL13167034, SP-CAAAPUE, SPL-129207, SSA:2016-266-01, SSA:2016-363-01, SSA-556833, SUSE-SU-2016:2387-1, SUSE-SU-2016:2394-1, SUSE-SU-2016:2458-1, SUSE-SU-2016:2468-1, SUSE-SU-2016:2469-1, SUSE-SU-2016:2470-1, SUSE-SU-2016:2470-2, SUSE-SU-2017:1444-1, SUSE-SU-2017:2838-1, SUSE-SU-2017:3177-1, SWEET32, TNS-2016-16, USN-3087-1, USN-3087-2, USN-3270-1, USN-3339-1, USN-3339-2, USN-3372-1, VIGILANCE-VUL-20473.
Bulletin Vigil@nce complet... (Essai gratuit)
Description de la vulnérabilité
Les algorithmes de chiffrement symétrique Blowfish et Triple-DES utilisent des blocs de 64 bits.
Cependant, s'ils sont utilisés en mode CBC, une collision se produit après 785 GB transférés, et il devient possible de déchiffrer les blocs avec une attaque qui dure 2 jours.
Un attaquant peut donc créer une session TLS/VPN avec un algorithme Blowfish/Triple-DES, et mener une attaque de deux jours, afin de déchiffrer des données.
Bulletin Vigil@nce complet... (Essai gratuit) |
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.
Consulter les informations sur SAS Management Console :
|