L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Slackware

vulnérabilité CVE-2018-5407

OpenSSL : obtention d'information via ECC Scalar Multiplication

Synthèse de la vulnérabilité

Produits concernés : Debian, BIG-IP Hardware, TMOS, OpenBSD, OpenSSL, openSUSE Leap, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/11/2018.
Références : CVE-2018-5407, DLA-1586-1, DSA-4348-1, K49711130, openSUSE-SU-2018:3903-1, openSUSE-SU-2018:4050-1, SSA:2018-325-01, SUSE-SU-2018:3864-1, SUSE-SU-2018:3866-1, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, USN-3840-1, VIGILANCE-VUL-27760.

Description de la vulnérabilité

Sur un processeur Intel (VIGILANCE-VUL-27667), un attaquant peut mesurer le temps d'exécution de la multiplication scalaire ECC de OpenSSL, afin de retrouver la clé utilisée.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2018-0734

OpenSSL : obtention d'information via DSA Signature Generation

Synthèse de la vulnérabilité

Produits concernés : Debian, OpenSSL, openSUSE Leap, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/10/2018.
Références : CVE-2018-0734, DSA-4348-1, openSUSE-SU-2018:3890-1, openSUSE-SU-2018:3903-1, openSUSE-SU-2018:4050-1, SSA:2018-325-01, SUSE-SU-2018:3863-1, SUSE-SU-2018:3864-1, SUSE-SU-2018:3866-1, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, USN-3840-1, VIGILANCE-VUL-27640.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via DSA Signature Generation de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2018-18661

LibTIFF : déréférencement de pointeur NULL via LZWDecode

Synthèse de la vulnérabilité

Produits concernés : LibTIFF, openSUSE Leap, Slackware, SUSE Linux Enterprise Desktop, SLES, WindRiver Linux.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/10/2018.
Références : 2819, CVE-2018-18661, openSUSE-SU-2018:3947-1, openSUSE-SU-2018:3948-1, SSA:2018-316-01, SUSE-SU-2018:3879-1, SUSE-SU-2018:3911-1, SUSE-SU-2018:3911-2, SUSE-SU-2018:3925-1, VIGILANCE-VUL-27635.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via LZWDecode de LibTIFF, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2018-12385

Firefox, Thunderbird : déni de service via TransportSecurityInfo

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, Firefox, Thunderbird, openSUSE Leap, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 24/09/2018.
Références : CERTFR-2018-AVI-451, CERTFR-2018-AVI-469, CVE-2018-12385, DLA-1575-1, DSA-4304-1, DSA-4327-1, FEDORA-2018-3eed69eedc, FEDORA-2018-5f88837c1b, FEDORA-2018-a78cf5fcfc, FEDORA-2018-d64cb04921, MFSA-2018-23, MFSA-2018-25, openSUSE-SU-2018:2817-1, openSUSE-SU-2018:3051-1, openSUSE-SU-2018:3687-1, RHSA-2018:2834-01, RHSA-2018:2835-01, RHSA-2018:3403-01, RHSA-2018:3458-01, SSA:2018-265-01, SUSE-SU-2018:3247-1, SUSE-SU-2018:3476-1, SUSE-SU-2018:3591-1, SUSE-SU-2018:3591-2, USN-3778-1, USN-3793-1, VIGILANCE-VUL-27294.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via TransportSecurityInfo de Firefox/Thunderbird, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-17182

Noyau Linux : obtention d'information via vmacache_flush_all

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, Linux, openSUSE Leap, RHEL, SIMATIC, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/09/2018.
Références : CERTFR-2018-AVI-462, CERTFR-2018-AVI-472, CERTFR-2018-AVI-480, CERTFR-2018-AVI-490, CERTFR-2018-AVI-508, CERTFR-2018-AVI-538, CVE-2018-17182, DLA-1529-1, DLA-1531-1, DSA-4308-1, FEDORA-2018-d77cc41f35, FEDORA-2018-e820fccd83, openSUSE-SU-2018:3071-1, openSUSE-SU-2018:3202-1, RHSA-2018:3656-01, SSA:2018-264-01, SSB-439005, SUSE-SU-2018:3032-1, SUSE-SU-2018:3083-1, SUSE-SU-2018:3084-1, SUSE-SU-2018:3100-1, SUSE-SU-2018:3159-1, SUSE-SU-2018:3659-1, USN-3776-1, USN-3776-2, USN-3777-1, USN-3777-2, USN-3777-3, VIGILANCE-VUL-27257.

Description de la vulnérabilité

Un attaquant local peut lire un fragment de la mémoire via vmacache_flush_all() du noyau Linux, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2018-16509

Ghostscript : exécution de code via Pipe

Synthèse de la vulnérabilité

Produits concernés : Debian, openSUSE Leap, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/09/2018.
Références : CVE-2018-16509, DLA-1504-1, DSA-4294-1, openSUSE-SU-2018:3036-1, openSUSE-SU-2018:3038-1, RHSA-2018:2918-01, RHSA-2018:3760-01, RHSA-2018:3761-01, SSA:2018-256-01, SUSE-SU-2018:2975-1, SUSE-SU-2018:2976-1, SUSE-SU-2018:3330-1, USN-3768-1, VIGILANCE-VUL-27231.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Pipe de Ghostscript, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-17082

PHP : Cross Site Scripting via Transfer-Encoding Chunked

Synthèse de la vulnérabilité

Produits concernés : Debian, openSUSE Leap, Solaris, PHP, Slackware, SUSE Linux Enterprise Desktop, SLES, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/09/2018.
Références : 76582, bulletinoct2018, CERTFR-2018-AVI-439, CVE-2018-17082, DLA-1509-1, DSA-4353-1, openSUSE-SU-2018:2929-1, openSUSE-SU-2018:3056-1, openSUSE-SU-2018:3062-1, SSA:2018-257-01, SUSE-SU-2018:2887-1, SUSE-SU-2018:3016-1, SUSE-SU-2018:3017-1, SUSE-SU-2018:3018-1, VIGILANCE-VUL-27229.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Transfer-Encoding Chunked de PHP, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-14618

curl : débordement d'entier via Curl_ntlm_core_mk_nt_hash

Synthèse de la vulnérabilité

Produits concernés : OpenOffice, curl, Debian, Fedora, openSUSE Leap, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 05/09/2018.
Références : CVE-2018-14618, DLA-1498-1, DSA-4286-1, FEDORA-2018-111044d435, FEDORA-2018-ba443bcb6d, openSUSE-SU-2018:2731-1, openSUSE-SU-2018:2736-1, RHSA-2018:3558-01, SSA:2018-249-01, SUSE-SU-2018:2714-1, SUSE-SU-2018:2715-1, SUSE-SU-2018:2717-1, USN-3765-1, USN-3765-2, VIGILANCE-VUL-27143.

Description de la vulnérabilité

Un attaquant peut provoquer un débordement d'entier via Curl_ntlm_core_mk_nt_hash() de curl, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 27065

Ghostscript : exécution de code via dSAFER

Synthèse de la vulnérabilité

Produits concernés : openSUSE Leap, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/08/2018.
Références : openSUSE-SU-2018:2516-1, openSUSE-SU-2018:2516-2, openSUSE-SU-2018:2600-1, openSUSE-SU-2018:3094-1, SSA:2018-249-02, SUSE-SU-2018:2553-1, SUSE-SU-2018:2560-1, SUSE-SU-2018:2562-1, SUSE-SU-2018:3072-1, Synology-SA-18:49, VIGILANCE-VUL-27065, VU#332928.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via dSAFER de Ghostscript, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-14598 CVE-2018-14599 CVE-2018-14600

libX11 : trois vulnérabilités

Synthèse de la vulnérabilité

Produits concernés : Debian, openSUSE Leap, Solaris, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux, XOrg Bundle ~ non exhaustif, libX11.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, création/modification de données, déni de service du client.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/08/2018.
Références : bulletinoct2018, CERTFR-2018-AVI-490, CVE-2018-14598, CVE-2018-14599, CVE-2018-14600, DLA-1482-1, openSUSE-SU-2018:2567-1, openSUSE-SU-2018:3012-1, SSA:2018-233-01, SUSE-SU-2018:2934-1, SUSE-SU-2018:2955-1, SUSE-SU-2018:3102-1, USN-3758-1, USN-3758-2, VIGILANCE-VUL-27057.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de libX11.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Slackware :