L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de SPSS Statistics

alerte de vulnérabilité informatique CVE-2016-2183 CVE-2016-5546 CVE-2016-5547

Oracle Java : vulnérabilités de janvier 2017

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Debian, Fedora, AIX, Domino, Notes, IRAD, Security Directory Server, QRadar SIEM, SPSS Statistics, Tivoli Storage Manager, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB, WebSphere MQ, ePO, SnapManager, Java OpenJDK, openSUSE Leap, Java Oracle, Solaris, RHEL, RSA Authentication Manager, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 17.
Date création : 18/01/2017.
Références : 1998379, 1998858, 1999054, 1999999, 2000212, 2000304, 2000516, 2000544, 2000602, 2000988, 2000990, 2001608, 2002331, 2002335, 2002336, 2002479, 2002537, 2002966, 2002991, 2003145, 2004036, 2004938, 2007242, bulletinapr2017, CERTFR-2017-AVI-017, cpujan2017, CVE-2016-2183, CVE-2016-5546, CVE-2016-5547, CVE-2016-5548, CVE-2016-5549, CVE-2016-5552, CVE-2016-8328, CVE-2017-3231, CVE-2017-3241, CVE-2017-3252, CVE-2017-3253, CVE-2017-3259, CVE-2017-3260, CVE-2017-3261, CVE-2017-3262, CVE-2017-3272, CVE-2017-3289, DLA-802-1, DLA-821-1, DSA-3782-1, ERPSCAN-17-006, ESA-2017-051, FEDORA-2017-4cb58f0bda, FEDORA-2017-c1252ccd41, ibm10718843, java_jan2017_advisory, NTAP-20170119-0001, openSUSE-SU-2017:0374-1, openSUSE-SU-2017:0513-1, RHSA-2017:0175-01, RHSA-2017:0176-01, RHSA-2017:0177-01, RHSA-2017:0180-01, RHSA-2017:0263-01, RHSA-2017:0269-01, RHSA-2017:0336-01, RHSA-2017:0337-01, RHSA-2017:0338-01, RHSA-2017:0462-01, SB10186, SUSE-SU-2017:0346-1, SUSE-SU-2017:0460-1, SUSE-SU-2017:0490-1, SUSE-SU-2017:1444-1, USN-3179-1, USN-3194-1, USN-3198-1, VIGILANCE-VUL-21606, ZDI-17-056, ZDI-17-057.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2017-3289, ZDI-17-057]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2017-3272, ZDI-17-056]

Un attaquant peut employer une vulnérabilité via RMI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2017-3241]

Un attaquant peut employer une vulnérabilité via AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2017-3260]

Un attaquant peut employer une vulnérabilité via 2D, afin de mener un déni de service. [grav:3/4; CVE-2017-3253]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'altérer des informations. [grav:3/4; CVE-2016-5546]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations. [grav:2/4; CVE-2016-5549]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations. [grav:2/4; CVE-2016-5548]

Un attaquant peut employer une vulnérabilité via JAAS, afin d'altérer des informations. [grav:2/4; CVE-2017-3252]

Un attaquant peut employer une vulnérabilité via Java Mission Control, afin d'obtenir des informations. [grav:2/4; CVE-2017-3262]

Un attaquant peut employer une vulnérabilité via Libraries, afin de mener un déni de service. [grav:2/4; CVE-2016-5547]

Un attaquant peut employer une vulnérabilité via Networking, afin d'altérer des informations. [grav:2/4; CVE-2016-5552]

Un attaquant peut employer une vulnérabilité via Networking, afin d'obtenir des informations. [grav:2/4; CVE-2017-3231]

Un attaquant peut employer une vulnérabilité via Networking, afin d'obtenir des informations. [grav:2/4; CVE-2017-3261]

Un attaquant peut employer une vulnérabilité via Deployment, afin d'obtenir des informations. [grav:1/4; CVE-2017-3259]

Un attaquant peut employer une vulnérabilité via Java Mission Control, afin d'altérer des informations. [grav:1/4; CVE-2016-8328]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations. [grav:1/4; CVE-2016-2183]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-9840 CVE-2016-9841 CVE-2016-9842

zlib : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de zlib.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Debian, Fedora, AIX, DB2 UDB, Domino, MQSeries, Notes, Security Directory Server, SPSS Statistics, Kubernetes, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, Oracle OIT, Solaris, Percona Server, Python, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Nessus, zlib.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 05/12/2016.
Références : 1997877, 2001520, 2003212, 2004735, 2005160, 2005255, 2006014, 2006017, 2007242, 2010282, 2011648, 2014202, APPLE-SA-2017-09-19-1, APPLE-SA-2017-09-25-1, APPLE-SA-2017-09-25-4, bulletinapr2017, bulletinoct2018, CERTFR-2018-AVI-288, cpujul2018, cpuoct2017, cpuoct2018, CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843, DLA-1725-1, FEDORA-2018-242f6c1a41, FEDORA-2018-55b875c1ac, HT208144, ibm10718843, openSUSE-SU-2016:3202-1, openSUSE-SU-2017:0077-1, openSUSE-SU-2017:0080-1, openSUSE-SU-2017:2998-1, openSUSE-SU-2018:0042-1, openSUSE-SU-2018:3478-1, openSUSE-SU-2019:0327-1, RHSA-2017:1220-01, RHSA-2017:1221-01, RHSA-2017:1222-01, RHSA-2017:2999-01, RHSA-2017:3046-01, RHSA-2017:3047-01, SSA:2018-309-01, SUSE-SU-2017:1384-1, SUSE-SU-2017:1386-1, SUSE-SU-2017:1387-1, SUSE-SU-2017:1444-1, SUSE-SU-2017:2989-1, SUSE-SU-2017:3369-1, SUSE-SU-2017:3411-1, SUSE-SU-2017:3440-1, SUSE-SU-2017:3455-1, SUSE-SU-2018:0005-1, SUSE-SU-2018:3542-1, SUSE-SU-2018:3972-1, SUSE-SU-2018:4211-1, SUSE-SU-2019:0119-1, SUSE-SU-2019:0555-1, TNS-2018-08, VIGILANCE-VUL-21262.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans zlib.

Un attaquant peut provoquer une corruption de mémoire via Deflate External Linkage, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4]

Une erreur de pointeur pourrait avoir une conséquence. [grav:1/4]

Un attaquant peut forcer la lecture à une adresse invalide via inftrees.c, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:1/4; CVE-2016-9840, CVE-2016-9841]

Un décalage de nombre négatif n'est pas défini. [grav:1/4; CVE-2016-9842]

Un attaquant peut forcer la lecture à une adresse invalide via Big-endian Pointer, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:1/4; CVE-2016-9843]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2016-3458 CVE-2016-3485 CVE-2016-3498

Oracle Java : vulnérabilités de juillet 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, AIX, Domino, Notes, IRAD, SPSS Statistics, Tivoli Storage Manager, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB, WebSphere MQ, JAXP, ePO, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 13.
Date création : 20/07/2016.
Références : 1988339, 1988894, 1988978, 1989049, 1989337, 1990031, 1990448, 1991383, 1991909, 1991910, 1991911, 1991913, 1991997, 1995792, 1995799, 2001630, 2007242, 486953, CERTFR-2016-AVI-243, cpujul2016, CVE-2016-3458, CVE-2016-3485, CVE-2016-3498, CVE-2016-3500, CVE-2016-3503, CVE-2016-3508, CVE-2016-3511, CVE-2016-3550, CVE-2016-3552, CVE-2016-3587, CVE-2016-3598, CVE-2016-3606, CVE-2016-3610, DLA-579-1, DSA-3641-1, ESA-2016-099, FEDORA-2016-588e386aaa, FEDORA-2016-c07d18b2a5, FEDORA-2016-c60d35c46c, openSUSE-SU-2016:2050-1, openSUSE-SU-2016:2051-1, openSUSE-SU-2016:2052-1, openSUSE-SU-2016:2058-1, RHSA-2016:1458-01, RHSA-2016:1475-01, RHSA-2016:1476-01, RHSA-2016:1477-01, RHSA-2016:1504-01, RHSA-2016:1587-01, RHSA-2016:1588-01, RHSA-2016:1589-01, RHSA-2016:1776-01, SB10166, SOL05016441, SOL25075696, SUSE-SU-2016:1997-1, SUSE-SU-2016:2012-1, SUSE-SU-2016:2261-1, SUSE-SU-2016:2286-1, SUSE-SU-2016:2347-1, SUSE-SU-2016:2348-1, SUSE-SU-2016:2726-1, USN-3043-1, USN-3062-1, USN-3077-1, VIGILANCE-VUL-20169, ZDI-16-445, ZDI-16-446, ZDI-16-447, ZDI-16-448.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Communications.

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3587, ZDI-16-448]

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3606, ZDI-16-447]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3598, ZDI-16-446]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3610, ZDI-16-445]

Un attaquant peut employer une vulnérabilité via Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3552]

Un attaquant peut employer une vulnérabilité via Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3511]

Un attaquant peut employer une vulnérabilité via Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3503]

Un attaquant peut employer une vulnérabilité via JavaFX, afin de mener un déni de service. [grav:2/4; CVE-2016-3498]

Un attaquant peut employer une vulnérabilité via JAXP, afin de mener un déni de service. [grav:2/4; CVE-2016-3500]

Un attaquant peut employer une vulnérabilité via JAXP, afin de mener un déni de service. [grav:2/4; CVE-2016-3508]

Un attaquant peut employer une vulnérabilité via CORBA, afin d'altérer des informations. [grav:2/4; CVE-2016-3458]

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2016-3550]

Un attaquant peut employer une vulnérabilité via Networking, afin d'altérer des informations. [grav:1/4; CVE-2016-3485]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2015-8530

IBM SPSS Statistics : buffer overflow de ActiveX

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow dans ActiveX de IBM SPSS Statistics, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : SPSS Statistics.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 09/05/2016.
Références : 1982035, CVE-2015-8530, VIGILANCE-VUL-19557.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow dans l'ActiveX de IBM SPSS Statistics, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2015-7489

IBM SPSS Statistics : élévation de privilèges via Python Scripts

Synthèse de la vulnérabilité

Un attaquant local peut modifier les scripts Python de IBM SPSS Statistics, puis inviter l'administrateur à ouvrir SPSS, afin d'élever ses privilèges.
Produits concernés : SPSS Statistics.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 29/12/2015.
Références : 1973502, CVE-2015-7489, VIGILANCE-VUL-18610.

Description de la vulnérabilité

Le produit IBM SPSS Statistics utilise des scripts Python, qui sont exécutés avec les privilèges de l'utilisateur.

Cependant, ces scripts peuvent être modifiés par tous les utilisateurs locaux.

Un attaquant local peut donc modifier les scripts Python de IBM SPSS Statistics, puis inviter l'administrateur à ouvrir SPSS, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2015-1931

IBM JDK : obtention d'information via Memory Dump

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données en lisant le Memory Dump de IBM JDK, afin d'obtenir des informations sensibles.
Produits concernés : AIX, IRAD, SPSS Data Collection, SPSS Modeler, SPSS Statistics, Tivoli System Automation, WebSphere MQ, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 23/07/2015.
Références : 1963330, 1963331, 1966040, 1966536, 1967222, 1968485, 1972455, CVE-2015-1931, RHSA-2015:1485-01, RHSA-2015:1486-01, RHSA-2015:1488-01, RHSA-2015:1544-01, SUSE-SU-2015:1329-1, SUSE-SU-2015:1331-1, SUSE-SU-2015:1345-1, SUSE-SU-2015:1375-1, SUSE-SU-2015:1509-1, VIGILANCE-VUL-17483.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données en lisant le Memory Dump de IBM JDK, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2015-2590 CVE-2015-2596 CVE-2015-2597

Oracle Java : multiples vulnérabilités de juillet 2015

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Java ont été annoncées en juillet 2015.
Produits concernés : DCFM Enterprise, FabricOS, Brocade Network Advisor, Brocade vTM, Debian, Avamar, BIG-IP Hardware, TMOS, Fedora, AIX, DB2 UDB, Domino, Notes, IRAD, SPSS Data Collection, SPSS Modeler, SPSS Statistics, Tivoli Storage Manager, Tivoli System Automation, WebSphere MQ, Junos Space, ePO, SnapManager, Java OpenJDK, openSUSE, Java Oracle, JavaFX, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 25.
Date création : 15/07/2015.
Références : 1963330, 1963331, 1963812, 1964236, 1966040, 1966536, 1967222, 1967498, 1967893, 1968485, 1972455, 206954, 9010041, 9010044, BSA-2016-002, CERTFR-2015-ALE-007, CERTFR-2015-AVI-305, CERTFR-2016-AVI-128, cpujul2015, CVE-2015-2590, CVE-2015-2596, CVE-2015-2597, CVE-2015-2601, CVE-2015-2613, CVE-2015-2619, CVE-2015-2621, CVE-2015-2625, CVE-2015-2627, CVE-2015-2628, CVE-2015-2632, CVE-2015-2637, CVE-2015-2638, CVE-2015-2659, CVE-2015-2664, CVE-2015-2808, CVE-2015-4000, CVE-2015-4729, CVE-2015-4731, CVE-2015-4732, CVE-2015-4733, CVE-2015-4736, CVE-2015-4748, CVE-2015-4749, CVE-2015-4760, DSA-3316-1, DSA-3339-1, ESA-2015-134, FEDORA-2015-11859, FEDORA-2015-11860, JSA10727, NTAP-20150715-0001, NTAP-20151028-0001, openSUSE-SU-2015:1288-1, openSUSE-SU-2015:1289-1, RHSA-2015:1228-01, RHSA-2015:1229-01, RHSA-2015:1230-01, RHSA-2015:1241-01, RHSA-2015:1242-01, RHSA-2015:1243-01, RHSA-2015:1485-01, RHSA-2015:1486-01, RHSA-2015:1488-01, RHSA-2015:1526-01, RHSA-2015:1544-01, SB10139, SOL17079, SOL17169, SOL17170, SOL17171, SOL17173, SUSE-SU-2015:1319-1, SUSE-SU-2015:1320-1, SUSE-SU-2015:1329-1, SUSE-SU-2015:1331-1, SUSE-SU-2015:1345-1, SUSE-SU-2015:1375-1, SUSE-SU-2015:1509-1, SUSE-SU-2015:2166-1, SUSE-SU-2015:2192-1, USN-2696-1, USN-2706-1, VIGILANCE-VUL-17371.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-17558). [grav:3/4; CVE-2015-4760]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2628]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4731]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2590]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4732]

Un attaquant peut employer une vulnérabilité de RMI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4733]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2638]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4736]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-4748]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2597]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-2664]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; CVE-2015-2632]

Un attaquant peut employer une vulnérabilité de JCE, afin d'obtenir des informations. [grav:2/4; CVE-2015-2601]

Un attaquant peut employer une vulnérabilité de JCE, afin d'obtenir des informations (VIGILANCE-VUL-18168). [grav:2/4; CVE-2015-2613]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations. [grav:2/4; CVE-2015-2621]

Un attaquant peut employer une vulnérabilité de Security, afin de mener un déni de service. [grav:2/4; CVE-2015-2659]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; CVE-2015-2619]

Un attaquant peut contourner les mesures de sécurité dans 2D, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-2637]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'altérer des informations. [grav:2/4; CVE-2015-2596]

Un attaquant peut employer une vulnérabilité de JNDI, afin de mener un déni de service. [grav:2/4; CVE-2015-4749]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-4729]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-4000]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2015-2808]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations. [grav:1/4; CVE-2015-2627]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir des informations. [grav:1/4; CVE-2015-2625]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2015-0140

IBM SPSS Statistics : exécution de code via ActiveX LongAsObject

Synthèse de la vulnérabilité

Un attaquant peut utiliser l'ActiveX de IBM SPSS Statistics, afin d'exécuter du code.
Produits concernés : SPSS Statistics.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 11/05/2015.
Références : 1697746, CVE-2015-0140, FG-VD-14-008, VIGILANCE-VUL-16864.

Description de la vulnérabilité

Le produit IBM SPSS Statistics fournit un ActiveX qui peut être instancié dans Internet Explorer.

Cependant, un attaquant peut employer un paramètre à la fonction LongAsObject(), afin d'exécuter du code.

Un attaquant peut donc utiliser l'ActiveX de IBM SPSS Statistics, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2013-5449

IBM SPSS Statistics : Cross Site Scripting de workingSet.jsp

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans workingSet.jsp de IBM SPSS Statistics, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : SPSS Statistics.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/01/2014.
Références : 1659930, CVE-2013-5449, VIGILANCE-VUL-14018.

Description de la vulnérabilité

Le produit IBM SPSS Statistics dispose d'un service web.

Cependant, la page workingSet.jsp ne filtre pas les données reçues via le paramètre "operation" avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans workingSet.jsp de IBM SPSS Statistics, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur SPSS Statistics :