L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de SLES

avis de vulnérabilité CVE-2018-10188

phpMyAdmin : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de phpMyAdmin, afin de forcer la victime à effectuer des opérations.
Produits concernés : openSUSE Leap, phpMyAdmin, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Date création : 19/04/2018.
Références : CVE-2018-10188, openSUSE-SU-2018:1058-1, openSUSE-SU-2018:1059-1, PMASA-2018-2, VIGILANCE-VUL-25934.

Description de la vulnérabilité

Le produit phpMyAdmin dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de phpMyAdmin, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-7541

Xen : déni de service via un changement de type de table des page

Synthèse de la vulnérabilité

Un attaquant privilégié dans un système invité peut demander un changement de type de table des page à Xen sans libérer les pages correspondantes, afin de provoquer une erreur fatale au serveur hôte.
Produits concernés : XenServer, Debian, Fedora, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Xen.
Gravité : 1/4.
Date création : 27/02/2018.
Références : CERTFR-2018-AVI-102, CERTFR-2018-AVI-145, CERTFR-2018-AVI-171, CTX232096, CTX232655, CVE-2018-7541, DLA-1300-1, DSA-4131-1, FEDORA-2018-0746dac335, FEDORA-2018-c553a586c8, openSUSE-SU-2018:1274-1, SUSE-SU-2018:0678-1, SUSE-SU-2018:0909-1, SUSE-SU-2018:1184-1, VIGILANCE-VUL-25386, XSA-255.

Description de la vulnérabilité

Un attaquant privilégié dans un système invité peut demander un changement de type de table des page à Xen sans libérer les pages correspondantes, afin de provoquer une erreur fatale au serveur hôte.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2018-7540

Xen : déni de service via la festion de la table des pages L3/L4

Synthèse de la vulnérabilité

Un attaquant privilégié dans un système invité peut allonger anormalement un traitement d'interruption en demandant à Xen un changement dans les tables de pages de niveau L3/L4, afin de mener un déni de service.
Produits concernés : XenServer, Debian, Fedora, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Xen.
Gravité : 1/4.
Date création : 27/02/2018.
Références : CERTFR-2018-AVI-102, CERTFR-2018-AVI-145, CERTFR-2018-AVI-171, CTX232096, CTX232655, CVE-2018-7540, DLA-1300-1, DSA-4131-1, FEDORA-2018-0746dac335, FEDORA-2018-c553a586c8, openSUSE-SU-2018:1274-1, SUSE-SU-2018:0678-1, SUSE-SU-2018:0909-1, SUSE-SU-2018:1184-1, VIGILANCE-VUL-25385, XSA-252.

Description de la vulnérabilité

Un attaquant privilégié dans un système invité peut allonger anormalement un traitement d'interruption en demandant à Xen un changement dans les tables de pages de niveau L3/L4, afin de mener un déni de service.

Une analyse détaillée n'a pas été effectuée pour ce bulletin.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-13166

Noyau Linux : élévation de privilèges via l'appel système ioctl

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès à la mémoire du noyau Linux via un appel ioctl, afin d'élever ses privilèges.
Produits concernés : Debian, Android OS, openSUSE Leap, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Date création : 23/02/2018.
Références : CERTFR-2018-AVI-009, CERTFR-2018-AVI-014, CERTFR-2018-AVI-018, CERTFR-2018-AVI-048, CERTFR-2018-AVI-147, CERTFR-2018-AVI-161, CERTFR-2018-AVI-196, CERTFR-2018-AVI-197, CERTFR-2018-AVI-206, CERTFR-2018-AVI-224, CERTFR-2018-AVI-228, CERTFR-2018-AVI-241, CVE-2017-13166, DLA-1349-1, DLA-1369-1, DSA-4082-1, DSA-4120-1, DSA-4120-2, DSA-4179-1, DSA-4187-1, openSUSE-SU-2018:0781-1, RHSA-2018:0676-01, RHSA-2018:1062-01, RHSA-2018:1130-01, RHSA-2018:1170-01, RHSA-2018:1319-01, SUSE-SU-2018:0031-1, SUSE-SU-2018:0040-1, SUSE-SU-2018:0171-1, SUSE-SU-2018:0785-1, SUSE-SU-2018:0786-1, SUSE-SU-2018:0834-1, SUSE-SU-2018:0848-1, SUSE-SU-2018:0986-1, SUSE-SU-2018:1080-1, SUSE-SU-2018:1172-1, SUSE-SU-2018:1309-1, VIGILANCE-VUL-25359.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès à la mémoire du noyau Linux via un appel ioctl, afin d'élever ses privilèges.

Une analyse détaillée n'a pas été effectuée pour ce bulletin.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-1000026

Noyau Linux : déni de service via le pilote bnx2x

Synthèse de la vulnérabilité

Un attaquant peut provoquer un blocage de la carte réseau lié au pilote bnx2x du noyau Linux, afin de mener un déni de service.
Produits concernés : Fedora, Linux, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Date création : 12/02/2018.
Références : CERTFR-2018-AVI-147, CERTFR-2018-AVI-165, CERTFR-2018-AVI-170, CERTFR-2018-AVI-196, CERTFR-2018-AVI-198, CVE-2018-1000026, FEDORA-2018-03a6606cb5, FEDORA-2018-7a62047e30, FEDORA-2018-884a105c04, openSUSE-SU-2018:0781-1, SUSE-SU-2018:0785-1, SUSE-SU-2018:0786-1, SUSE-SU-2018:0986-1, USN-3617-1, USN-3617-2, USN-3617-3, USN-3619-1, USN-3619-2, USN-3620-1, USN-3620-2, USN-3632-1, VIGILANCE-VUL-25279.

Description de la vulnérabilité

Un attaquant peut provoquer un blocage de la carte réseau lié au pilote bnx2x du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-16911

Noyau Linux : obtention d'information via vhci_hcd

Synthèse de la vulnérabilité

Un attaquant peut obtenir des adresses du noyau via le pilote vhci_hcd du noyau Linux, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Linux, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Date création : 01/02/2018.
Références : CERTFR-2018-AVI-161, CERTFR-2018-AVI-170, CERTFR-2018-AVI-197, CERTFR-2018-AVI-206, CERTFR-2018-AVI-224, CERTFR-2018-AVI-241, CVE-2017-16911, DLA-1369-1, DSA-4187-1, SUSE-SU-2018:0834-1, SUSE-SU-2018:0848-1, SUSE-SU-2018:1080-1, SUSE-SU-2018:1172-1, SUSE-SU-2018:1309-1, USN-3619-1, USN-3619-2, VIGILANCE-VUL-25197.

Description de la vulnérabilité

Un attaquant peut obtenir des adresses du noyau via le pilote vhci_hcd du noyau Linux, afin d'obtenir des informations sensibles.

Une analyse détaillée n'a pas été effectuée pour ce bulletin.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2016-10708

OpenSSH : déréférencement de pointeur NULL via un message NEWKEYS

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans OpenSSH via un message NEWKEYS reçu dans un mauvais ordre, afin de mener un déni de service.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Data ONTAP, OpenSSH, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Date création : 22/01/2018.
Références : CVE-2016-10708, DLA-1257-1, K32485746, NTAP-20180423-0003, SUSE-SU-2018:1989-1, VIGILANCE-VUL-25131.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans OpenSSH via un message NEWKEYS reçu dans un mauvais ordre, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-1000499

phpMyAdmin : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de phpMyAdmin, afin de forcer la victime à effectuer des opérations.
Produits concernés : Fedora, openSUSE Leap, phpMyAdmin, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Date création : 28/12/2017.
Références : CERTFR-2018-AVI-001, CVE-2017-1000499, FEDORA-2017-481515e199, FEDORA-2017-cad79c7c6c, openSUSE-SU-2017:3448-1, openSUSE-SU-2017:3451-1, PMASA-2017-9, VIGILANCE-VUL-24897.

Description de la vulnérabilité

Le produit phpMyAdmin dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de phpMyAdmin, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-12193

Noyau Linux : déréférencement de pointeur NULL via assoc_array_apply_edit

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via assoc_array_apply_edit() du noyau Linux, afin de mener un déni de service.
Produits concernés : Fedora, Linux, openSUSE Leap, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Date création : 02/11/2017.
Références : CERTFR-2017-AVI-448, CERTFR-2017-AVI-454, CERTFR-2017-AVI-458, CERTFR-2018-AVI-321, CVE-2017-12193, FEDORA-2017-38b37120a2, FEDORA-2017-9fbb35aeda, FEDORA-2018-884a105c04, openSUSE-SU-2017:3358-1, openSUSE-SU-2017:3359-1, RHSA-2018:0151-01, SUSE-SU-2017:3210-1, SUSE-SU-2017:3249-1, SUSE-SU-2017:3398-1, SUSE-SU-2017:3410-1, USN-3507-1, USN-3507-2, USN-3509-1, USN-3509-2, USN-3509-3, USN-3509-4, USN-3698-1, USN-3698-2, VIGILANCE-VUL-24308.

Description de la vulnérabilité

Le produit Noyau Linux dispose d'un service web.

Cependant, ce produit ne vérifie pas si un pointeur est NULL, avant de l'utiliser.

Un attaquant peut donc forcer le déréférencement d'un pointeur NULL via assoc_array_apply_edit() du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-5121 CVE-2017-5122

Google Chrome : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Fedora, Chrome, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Date création : 22/09/2017.
Références : CERTFR-2017-AVI-318, CVE-2017-5121, CVE-2017-5122, DSA-3985-1, FEDORA-2017-efeb59171d, openSUSE-SU-2017:2557-1, openSUSE-SU-2017:2558-1, RHSA-2017:2792-01, VIGILANCE-VUL-23907.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut provoquer une corruption de mémoire via V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2017-5121]

Un attaquant peut provoquer une corruption de mémoire via V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2017-5122]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur SLES :