L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Sophos Anti-Virus

bulletin de vulnérabilité informatique CVE-2018-9233

Sophos Endpoint Protection : élévation de privilèges via Weak Unsalted Hash

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Weak Unsalted Hash de Sophos Endpoint Protection, afin d'élever ses privilèges.
Produits concernés : Sophos AV.
Gravité : 1/4.
Conséquences : accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 04/04/2018.
Références : CVE-2018-9233, VIGILANCE-VUL-25768.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Weak Unsalted Hash de Sophos Endpoint Protection, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-4863

Sophos Endpoint Protection : élévation de privilèges via Enhanced Tamper Protection

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Enhanced Tamper Protection de Sophos Endpoint Protection, afin d'élever ses privilèges.
Produits concernés : Sophos AV.
Gravité : 2/4.
Conséquences : accès/droits privilégié, création/modification de données.
Provenance : shell utilisateur.
Date création : 04/04/2018.
Références : CVE-2018-4863, VIGILANCE-VUL-25767.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Enhanced Tamper Protection de Sophos Endpoint Protection, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 23496

Sophos Anti-Virus : élévation de privilèges via Mac OS X

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Mac OS X de Sophos Anti-Virus, afin d'élever ses privilèges.
Produits concernés : Sophos AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 10/08/2017.
Références : VIGILANCE-VUL-23496.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Mac OS X de Sophos Anti-Virus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2015-0138 CVE-2015-0204

OpenSSL, LibReSSL, Mono, JSSE : affaiblissement du chiffrement TLS via FREAK

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-middle, peut forcer le client Chrome, JSSE, LibReSSL, Mono ou OpenSSL à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Produits concernés : Arkoon FAST360, ArubaOS, Avaya Ethernet Routing Switch, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Cisco ATA, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco ESA, IOS par Cisco, IronPort Email, IronPort Web, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Prime Network Control Systems, Cisco PRSM, Cisco Router, Cisco IP Phone, Cisco MeetingPlace, Cisco WSA, Clearswift Email Gateway, Debian, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiClient, FortiGate, FortiGate Virtual Appliance, FortiOS, FreeBSD, Chrome, HPE NNMi, HP-UX, AIX, DB2 UDB, Domino, Notes, IRAD, Security Directory Server, Tivoli Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Juniper SBR, McAfee Email Gateway, ePO, McAfee NTBA, McAfee NGFW, VirusScan, McAfee Web Gateway, Windows (plateforme) ~ non exhaustif, Data ONTAP, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, OpenBSD, Java OpenJDK, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Java Oracle, Solaris, Tuxedo, WebLogic, pfSense, Puppet, RHEL, Base SAS Software, SAS SAS/CONNECT, Slackware, Sophos AV, Splunk Enterprise, Stonesoft NGFW/VPN, stunnel, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 04/03/2015.
Date révision : 09/03/2015.
Références : 122007, 1450666, 1610582, 1647054, 1698613, 1699051, 1699810, 1700225, 1700997, 1701485, 1902260, 1903541, 1963275, 1968485, 1973383, 55767, 7014463, 7022958, 9010028, ARUBA-PSA-2015-003, bulletinjan2015, c04556853, c04679334, c04773241, CERTFR-2015-AVI-108, CERTFR-2015-AVI-117, CERTFR-2015-AVI-146, CERTFR-2016-AVI-303, cisco-sa-20150310-ssl, cpuapr2017, cpujul2018, cpuoct2017, CTX216642, CVE-2015-0138, CVE-2015-0204, DSA-3125-1, FEDORA-2015-0512, FEDORA-2015-0601, FG-IR-15-007, FREAK, FreeBSD-SA-15:01.openssl, HPSBMU03345, HPSBUX03244, HPSBUX03334, JSA10679, MDVSA-2015:019, MDVSA-2015:062, MDVSA-2015:063, NetBSD-SA2015-006, NetBSD-SA2015-007, NTAP-20150205-0001, openSUSE-SU-2015:0130-1, openSUSE-SU-2016:0640-1, RHSA-2015:0066-01, RHSA-2015:0800-01, RHSA-2015:1020-01, RHSA-2015:1021-01, RHSA-2015:1091-01, SA40015, SA88, SA91, SB10108, SB10110, SOL16120, SOL16123, SOL16124, SOL16126, SOL16135, SOL16136, SOL16139, SP-CAAANXD, SPL-95203, SPL-95206, SSA:2015-009-01, SSRT101885, SSRT102000, SUSE-SU-2015:1073-1, SUSE-SU-2015:1085-1, SUSE-SU-2015:1086-1, SUSE-SU-2015:1086-2, SUSE-SU-2015:1086-3, SUSE-SU-2015:1086-4, SUSE-SU-2015:1138-1, SUSE-SU-2015:1161-1, T1022075, USN-2459-1, VIGILANCE-VUL-16301, VN-2015-003_FREAK, VU#243585.

Description de la vulnérabilité

Le protocole TLS utilise une succession de messages, que le client et le serveur doivent échanger, avant d'établir une session sécurisée.

Plusieurs algorithmes cryptographiques sont négociables, dont les algorithmes compatibles avec l'export USA (moins de 512 bits).

Un attaquant placé en Man-in-the-middle peut injecter en début de session TLS un message choisissant un algorithme d'export. Ce message devrait générer une erreur, cependant certains clients TLS l'acceptent.

Note : la variante concernant Windows est décrite dans VIGILANCE-VUL-16332.

Un attaquant, placé en Man-in-the-middle, peut donc forcer le client Chrome, JSSE, LibReSSL, Mono ou OpenSSL à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2014-2385

Sophos Antivirus Configuration Console : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Sophos Antivirus Configuration Console, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Sophos AV.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 25/06/2014.
Références : CVE-2014-2385, VIGILANCE-VUL-14937.

Description de la vulnérabilité

Le produit Sophos Antivirus Configuration Console dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Sophos Antivirus Configuration Console, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-0160

OpenSSL : obtention d'information via Heartbeat

Synthèse de la vulnérabilité

Un attaquant peut employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Produits concernés : Tomcat, ArubaOS, i-Suite, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, ARCserve Backup, ASA, Cisco Catalyst, IOS XE Cisco, Prime Infrastructure, Cisco PRSM, Cisco Router, Cisco CUCM, Cisco IP Phone, Cisco Unity ~ précis, XenDesktop, Clearswift Email Gateway, Clearswift Web Gateway, Debian, ECC, PowerPath, ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiClient, FortiGate, FortiGate Virtual Appliance, FortiOS, FreeBSD, HP Diagnostics, LoadRunner, Performance Center, AIX, WebSphere MQ, IVE OS, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SA, Juniper UAC, LibreOffice, McAfee Email Gateway, ePO, GroupShield, McAfee NGFW, VirusScan, McAfee Web Gateway, Windows 8, Windows RT, MySQL Enterprise, NetBSD, OpenBSD, OpenSSL, openSUSE, Opera, Solaris, pfSense, HDX, RealPresence Collaboration Server, Polycom VBP, Puppet, RHEL, RSA Authentication Manager, SIMATIC, Slackware, Sophos AV, Splunk Enterprise, Stonesoft NGFW/VPN, stunnel, ASE, OfficeScan, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, VMware Player, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, VMware Workstation, Websense Email Security, Websense Web Filter, Websense Web Security.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 08/04/2014.
Références : 1669839, 190438, 2076225, 2962393, c04236102, c04267775, c04286049, CA20140413-01, CERTFR-2014-ALE-003, CERTFR-2014-AVI-156, CERTFR-2014-AVI-161, CERTFR-2014-AVI-162, CERTFR-2014-AVI-167, CERTFR-2014-AVI-169, CERTFR-2014-AVI-177, CERTFR-2014-AVI-178, CERTFR-2014-AVI-179, CERTFR-2014-AVI-180, CERTFR-2014-AVI-181, CERTFR-2014-AVI-198, CERTFR-2014-AVI-199, CERTFR-2014-AVI-213, cisco-sa-20140409-heartbleed, CTX140605, CVE-2014-0160, CVE-2014-0346-REJECT, DSA-2896-1, DSA-2896-2, emr_na-c04236102-7, ESA-2014-034, ESA-2014-036, ESA-2014-075, FEDORA-2014-4879, FEDORA-2014-4910, FEDORA-2014-4982, FEDORA-2014-4999, FG-IR-14-011, FreeBSD-SA-14:06.openssl, Heartbleed, HPSBMU02995, HPSBMU03025, HPSBMU03040, ICSA-14-105-03, JSA10623, MDVSA-2014:123, MDVSA-2015:062, NetBSD-SA2014-004, openSUSE-SU-2014:0492-1, openSUSE-SU-2014:0560-1, openSUSE-SU-2014:0719-1, pfSense-SA-14_04.openssl, RHSA-2014:0376-01, RHSA-2014:0377-01, RHSA-2014:0378-01, RHSA-2014:0396-01, RHSA-2014:0416-01, SA40005, SA79, SB10071, SOL15159, SPL-82696, SSA:2014-098-01, SSA-635659, SSRT101565, USN-2165-1, VIGILANCE-VUL-14534, VMSA-2014-0004, VMSA-2014-0004.1, VMSA-2014-0004.2, VMSA-2014-0004.3, VMSA-2014-0004.6, VMSA-2014-0004.7, VU#720951.

Description de la vulnérabilité

L'extension Heartbeat de TLS (RFC 6520) assure une fonctionnalité de keep-alive, sans effectuer de renégociation. Pour cela, des données aléatoires sont échangées (payload).

La version 1.0.1 de OpenSSL implémente Heartbeat, qui est activé par défaut. La fonction [d]tls1_process_heartbeat() gère les messages Heartbeat. Cependant, elle ne vérifie pas la taille des données aléatoires, et continue à lire après la fin du payload, puis envoie la zone mémoire complète (jusqu'à 64ko) à l'autre extrémité (client ou serveur).

Un attaquant peut donc employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2014-1213

Sophos Anti-Virus : déni de service via Object

Synthèse de la vulnérabilité

Un attaquant local peut interagir avec des objets de Sophos Anti-Virus, afin de mener un déni de service.
Produits concernés : Sophos AV.
Gravité : 1/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : shell utilisateur.
Date création : 03/02/2014.
Références : BID-65286, CVE-2014-1213, VIGILANCE-VUL-14166.

Description de la vulnérabilité

Le gestionnaire d'objets de Windows permet d'accéder à tous les objets du système :
  \BaseNamedObjects (mutex, timer, etc.)
  \Drivers
  \FileSystem
  etc.

L'antivirus Sophos utilise plusieurs objets :
  $$!_EVENT_$!__...
  SAV-****
  SAV-Info
  SophosALMonSessionInstance

Cependant, les ACLs ne sont pas définies pour ces objets.

Un attaquant local peut donc interagir avec des objets de Sophos Anti-Virus, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2012-6706

Sophos Antivirus : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut créer un fichier VB6/CAB/RAR/PDF illicite qui corrompt la mémoire de Sophos Antivirus, afin de faire exécuter du code sur la machine de l'utilisateur.
Produits concernés : AsyncOS, Cisco ESA, IronPort Email, IronPort Web, Solaris, Sophos AV.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 05/11/2012.
Références : BID-56401, bulletinjul2017, CERTA-2012-AVI-627, CERTA-2012-AVI-637, cisco-sa-20121108-sophos, CSCud10556, CVE-2012-6706, VIGILANCE-VUL-12111, VU#662243.

Description de la vulnérabilité

Le produit Sophos Antivirus analyse les virus contenus dans les documents manipulés par l'utilisateur. Cependant, les documents malformés ne sont pas correctement décodés.

Un ActiveX créé avec Visual Basic 6 provoque un débordement d'entier. [grav:3/4]

Une archive CAB illicite provoque un buffer overflow. [grav:3/4]

Une archive RAR illicite corrompt la mémoire (VIGILANCE-VUL-23073). [grav:3/4; CVE-2012-6706]

Un document PDF illicite provoque un buffer overflow. [grav:3/4]

Un attaquant peut donc créer un fichier VB6/CAB/RAR/PDF illicite qui corrompt la mémoire de Sophos Antivirus, afin de faire exécuter du code sur la machine de l'utilisateur.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2012-1424 CVE-2012-1427 CVE-2012-1428

Sophos Anti-Virus : contournement via CAB, CHM, ELF, EXE, Office, RAR, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par Sophos Anti-Virus.
Produits concernés : Sophos AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 16.
Date création : 21/03/2012.
Références : BID-52579, BID-52587, BID-52589, BID-52590, BID-52591, BID-52598, BID-52599, BID-52600, BID-52608, BID-52611, BID-52612, BID-52613, BID-52617, BID-52621, BID-52623, BID-52626, CVE-2012-1424, CVE-2012-1427, CVE-2012-1428, CVE-2012-1430, CVE-2012-1431, CVE-2012-1438, CVE-2012-1442, CVE-2012-1443, CVE-2012-1446, CVE-2012-1450, CVE-2012-1453, CVE-2012-1456, CVE-2012-1458, CVE-2012-1459, CVE-2012-1461, CVE-2012-1462, VIGILANCE-VUL-11473.

Description de la vulnérabilité

Les outils d'extraction d'archives (CAB, TAR, ZIP, etc.) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF, EXE) légèrement malformés. Cependant, Sophos Anti-Virus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "\19\04\00\10" à l'offset 8 contourne la détection. [grav:1/4; BID-52590, CVE-2012-1424]

Une archive TAR contenant "\57\69\6E\5A\69\70" à l'offset 29 contourne la détection. [grav:1/4; BID-52587, CVE-2012-1427]

Une archive TAR contenant "\4a\46\49\46" à l'offset 6 contourne la détection. [grav:1/4; BID-52579, CVE-2012-1428]

Un programme ELF contenant "\19\04\00\10" à l'offset 8 contourne la détection. [grav:2/4; BID-52589, CVE-2012-1430]

Un programme ELF contenant "\4a\46\49\46" à l'offset 6 contourne la détection. [grav:2/4; BID-52591, CVE-2012-1431]

Un document MS Office contenant "ustar" à l'offset 257 contourne la détection. [grav:1/4; BID-52599, CVE-2012-1438]

Un programme EXE contenant un champ "class" trop grand contourne la détection. [grav:2/4; BID-52598, CVE-2012-1442]

Une archive RAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52612, CVE-2012-1443]

Un programme ELF contenant un champ "encoding" trop grand contourne la détection. [grav:2/4; BID-52600, CVE-2012-1446]

Une archive CAB contenant un champ "reserved3" trop grand contourne la détection. [grav:1/4; BID-52617, CVE-2012-1450]

Une archive CAB contenant un champ "coffFiles" trop grand contourne la détection. [grav:1/4; BID-52621, CVE-2012-1453]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Un fichier d'aide CHM avec un entête contenant une faible valeur "interval" contourne la détection. [grav:1/4; BID-52611, CVE-2012-1458]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Une archive TAR+GZ contenant deux streams contourne la détection. [grav:1/4; BID-52626, CVE-2012-1461]

Une archive ZIP commençant par 1024 octets aléatoires contourne la détection. [grav:1/4; BID-52613, CVE-2012-1462]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 9699

Sophos AV : élévation de privilèges via SAVOnAccessFilter

Synthèse de la vulnérabilité

Un attaquant local peut employer une vulnérabilité du pilote SAVOnAccessFilter, afin d'obtenir les privilèges du système.
Produits concernés : Sophos AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Date création : 10/06/2010.
Références : BID-40715, TPTI-10-03, VIGILANCE-VUL-9699.

Description de la vulnérabilité

L'antivirus Sophos installe le pilote SAVOnAccessFilter.sys qui vérifie les appels système à la volée.

L'appel système NtQueryAttributesFile() permet à une application d'obtenir des informations sur un fichier. Le pilote SAVOnAccessFilter.sys vérifie cet appel système.

Cependant, les paramètres de NtQueryAttributesFile() ne sont pas correctement validés par le pilote, ce qui corrompt sa mémoire.

Un attaquant local peut donc employer une vulnérabilité du pilote SAVOnAccessFilter, afin d'obtenir les privilèges du système.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Sophos Anti-Virus :