L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de SES

annonce de vulnérabilité informatique CVE-2018-1000122

curl : lecture de mémoire hors plage prévue via RTSP RTP

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via RTSP RTP de curl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : SDS, SES, SNS, OpenOffice, curl, Debian, Unisphere EMC, Fedora, Juniper EX-Series, Junos OS, SRX-Series, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : serveur intranet.
Date création : 14/03/2018.
Références : bulletinapr2018, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-1000122, DLA-1309-1, DSA-2019-114, DSA-4136-1, FEDORA-2018-66c96e0024, FEDORA-2018-8877b4ccac, JSA10874, openSUSE-SU-2018:0794-1, RHSA-2018:3157-01, RHSA-2018:3558-01, SSA:2018-074-01, STORM-2019-002, SUSE-SU-2018:1323-1, USN-3598-1, USN-3598-2, VIGILANCE-VUL-25547.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via RTSP RTP de curl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-1000121

curl : déréférencement de pointeur NULL via LDAP URL

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via LDAP URL de curl, afin de mener un déni de service.
Produits concernés : SDS, SES, SNS, OpenOffice, curl, Debian, Unisphere EMC, Fedora, Juniper EX-Series, Junos OS, SRX-Series, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : serveur intranet.
Date création : 14/03/2018.
Références : bulletinapr2018, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-1000121, DLA-1309-1, DSA-2019-114, DSA-4136-1, FEDORA-2018-66c96e0024, FEDORA-2018-8877b4ccac, JSA10874, openSUSE-SU-2018:0794-1, RHSA-2018:3157-01, RHSA-2018:3558-01, SSA:2018-074-01, STORM-2019-002, SUSE-SU-2018:1323-1, USN-3598-1, USN-3598-2, VIGILANCE-VUL-25546.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via LDAP URL de curl, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-1000120

curl : corruption de mémoire via FTP URL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire via FTP URL de curl, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : SDS, SES, SNS, OpenOffice, curl, Debian, Unisphere EMC, Fedora, Juniper EX-Series, Junos OS, SRX-Series, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : serveur internet.
Date création : 14/03/2018.
Références : bulletinapr2018, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-1000120, DLA-1309-1, DSA-2019-114, DSA-4136-1, FEDORA-2018-66c96e0024, FEDORA-2018-8877b4ccac, JSA10874, openSUSE-SU-2018:0794-1, RHSA-2018:3157-01, RHSA-2018:3558-01, SSA:2018-074-01, STORM-2019-002, SUSE-SU-2018:1323-1, USN-3598-1, USN-3598-2, VIGILANCE-VUL-25545.

Description de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire via FTP URL de curl, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-8816 CVE-2017-8817 CVE-2017-8818

curl : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de curl.
Produits concernés : SDS, SES, SNS, OpenOffice, Mac OS X, curl, Debian, Fedora, Juniper EX-Series, Junos OS, SRX-Series, openSUSE Leap, Solaris, RHEL, Shibboleth SP, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 29/11/2017.
Références : bulletinapr2018, bulletinoct2018, CVE-2017-8816, CVE-2017-8817, CVE-2017-8818, DLA-1195-1, DSA-4051-1, FEDORA-2017-0c062324cd, FEDORA-2017-45bdf4dace, HT208465, HT208692, JSA10874, openSUSE-SU-2018:0161-1, RHSA-2018:3558-01, STORM-2019-002, USN-3498-1, USN-3498-2, VIGILANCE-VUL-24564.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de curl.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-1000254

curl : lecture de mémoire hors plage prévue via FTP PWD

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via FTP PWD de curl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : SDS, SES, SNS, OpenOffice, Mac OS X, curl, Debian, Unisphere EMC, Fedora, Juniper EX-Series, Junos OS, SRX-Series, openSUSE Leap, Solaris, pfSense, RHEL, Slackware, Ubuntu, VxWorks.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : serveur internet.
Date création : 04/10/2017.
Références : 2011879, bulletinapr2018, CVE-2017-1000254, DLA-1121-1, DSA-2019-114, DSA-3992-1, FEDORA-2017-601b4c20a4, HT208331, HT208394, JSA10874, K-511316, openSUSE-SU-2017:2880-1, RHSA-2018:3558-01, SSA:2017-279-01, STORM-2019-002, USN-3441-1, USN-3441-2, VIGILANCE-VUL-24018.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via FTP PWD de curl, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-1000099 CVE-2017-1000100 CVE-2017-1000101

curl : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de curl.
Produits concernés : SDS, SES, SNS, OpenOffice, Mac OS X, curl, Debian, Unisphere EMC, Fedora, Android OS, Juniper EX-Series, Junos OS, SRX-Series, openSUSE Leap, Solaris, RHEL, Slackware, Ubuntu, VxWorks.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, déni de service du service, déni de service du client.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 09/08/2017.
Références : 2011879, bulletinapr2018, CVE-2017-1000099, CVE-2017-1000100, CVE-2017-1000101, DLA-1062-1, DSA-2019-114, DSA-3992-1, FEDORA-2017-f1ffd18079, FEDORA-2017-f2df9d7772, HT208221, JSA10874, K-511316, openSUSE-SU-2017:2205-1, RHSA-2018:3558-01, SSA:2017-221-01, STORM-2019-002, USN-3441-1, USN-3441-2, VIGILANCE-VUL-23481.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans curl.

Un attaquant peut forcer la lecture à une adresse invalide via Globbing, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2017-1000101]

Un attaquant peut provoquer un buffer overflow via TFTP, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2017-1000100]

Un attaquant peut forcer la lecture à une adresse invalide via FILE, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2017-1000099]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-7679

Apache httpd : lecture de mémoire hors plage prévue via mod_mime

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via mod_mime de Apache httpd, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : SES, Apache httpd, Mac OS X, Debian, NetWorker, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, Junos Space, ePO, openSUSE Leap, Solaris, VirtualBox, RHEL, Slackware, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : client internet.
Date création : 20/06/2017.
Références : APPLE-SA-2017-09-25-1, bulletinjul2017, cpuoct2017, CVE-2017-7679, DLA-1009-1, DSA-2019-131, DSA-3896-1, FEDORA-2017-9ded7c5670, FEDORA-2017-cf9599a306, HT208144, HT208221, JSA10838, K75429050, openSUSE-SU-2017:1803-1, RHSA-2017:2478-01, RHSA-2017:2479-01, RHSA-2017:2483-01, RHSA-2017:3193-01, RHSA-2017:3194-01, RHSA-2017:3195-01, SB10206, SSA:2017-180-03, STORM-2017-003, USN-3340-1, USN-3373-1, VIGILANCE-VUL-23004.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via mod_mime de Apache httpd, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-7668

Apache httpd : lecture de mémoire hors plage prévue via ap_find_token

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via ap_find_token() de Apache httpd, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : SES, Apache httpd, Mac OS X, Debian, VNX Operating Environment, VNX Series, Fedora, Junos Space, ePO, Solaris, VirtualBox, RHEL, Slackware, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : client internet.
Date création : 20/06/2017.
Références : APPLE-SA-2017-09-25-1, bulletinjul2017, CERTFR-2017-AVI-218, cpuoct2017, CVE-2017-7668, DLA-1009-1, DSA-2019-131, DSA-3896-1, FEDORA-2017-9ded7c5670, FEDORA-2017-cf9599a306, HT208144, HT208221, JSA10838, RHSA-2017:2479-01, RHSA-2017:2483-01, RHSA-2017:3193-01, RHSA-2017:3194-01, SB10206, SSA:2017-180-03, STORM-2017-003, USN-3340-1, USN-3373-1, VIGILANCE-VUL-23003.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via ap_find_token() de Apache httpd, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-3169

Apache httpd : déréférencement de pointeur NULL via mod_ssl

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via mod_ssl de Apache httpd, afin de mener un déni de service.
Produits concernés : SES, Apache httpd, Mac OS X, Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, Junos Space, ePO, openSUSE Leap, Solaris, VirtualBox, RHEL, Slackware, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 20/06/2017.
Références : APPLE-SA-2017-09-25-1, bulletinjul2017, CERTFR-2017-AVI-218, cpuoct2017, CVE-2017-3169, DLA-1009-1, DSA-2019-131, DSA-3896-1, FEDORA-2017-9ded7c5670, FEDORA-2017-cf9599a306, HT208144, HT208221, JSA10838, K83043359, openSUSE-SU-2017:1803-1, RHSA-2017:2478-01, RHSA-2017:2479-01, RHSA-2017:2483-01, RHSA-2017:3193-01, RHSA-2017:3194-01, RHSA-2017:3195-01, SB10206, SSA:2017-180-03, STORM-2017-003, USN-3340-1, USN-3373-1, VIGILANCE-VUL-23001.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via mod_ssl de Apache httpd, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-7468

libcurl : redémarrage de session TLS malgré un changement de certificat

Synthèse de la vulnérabilité

Le client TLS de libcurl peut réutiliser une session malgré le changement de certificat client, ce qui peut conduire à l'authentification sur un serveur avec l'identité incorrecte.
Produits concernés : SDS, SES, SNS, OpenOffice, Mac OS X, curl, pfSense, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : compte utilisateur.
Date création : 19/04/2017.
Références : APPLE-SA-2017-07-19-2, CVE-2017-7468, HT207922, STORM-2019-002, USN-3262-1, VIGILANCE-VUL-22500.

Description de la vulnérabilité

Le client TLS de libcurl peut réutiliser une session malgré le changement de certificat client, ce qui peut conduire à l'authentification sur un serveur avec une identité incorrecte.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur SES :