L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Sophos XG Series

alerte de vulnérabilité informatique CVE-2017-12854

Sophos XG Series : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Sophos XG Series, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Sophos XG Series.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 19/02/2018.
Références : CVE-2017-12854, VIGILANCE-VUL-25326.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de Sophos XG Series, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-18014

Sophos XG Firewall : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Sophos XG Firewall, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Sophos XG Series.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 29/12/2017.
Références : 128024, CVE-2017-18014, VIGILANCE-VUL-24910.

Description de la vulnérabilité

Le produit Sophos XG Firewall dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Sophos XG Firewall, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-7478 CVE-2017-7479

OpenVPN : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenVPN.
Produits concernés : Debian, Fedora, openSUSE Leap, Sophos XG Series, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 12/05/2017.
Références : CVE-2017-7478, CVE-2017-7479, DLA-944-1, DSA-3900-1, FEDORA-2017-0d0f18140a, FEDORA-2017-f426acf49d, openSUSE-SU-2017:1638-1, SUSE-SU-2017:1622-1, SUSE-SU-2017:1718-1, SUSE-SU-2017:2838-1, SUSE-SU-2017:3177-1, USN-3284-1, USN-3339-1, USN-3339-2, VIGILANCE-VUL-22717.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenVPN.

Un attaquant peut provoquer une erreur d'assertion via Oversized Control Packet, afin de mener un déni de service. [grav:2/4; CVE-2017-7478]

Un attaquant peut provoquer une erreur d'assertion via Rolled Over Packet, afin de mener un déni de service. [grav:2/4; CVE-2017-7479]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2011-1473

TLS, OpenSSL : surcharge via renégociation

Synthèse de la vulnérabilité

Un client illicite peut demander de nombreuses renégociations à un serveur SSL/TLS, afin de le surcharger.
Produits concernés : Apache httpd, ProxySG par Blue Coat, SGOS par Blue Coat, Clearswift Email Gateway, Juniper J-Series, Junos OS, NSM Central Manager, NSMXpress, McAfee NSP, OpenSSL, SSL (protocole), Sophos XG Series, Squid, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 08/07/2011.
Références : BID-48626, CERTA-2013-AVI-542, CVE-2011-1473, JSA10575, JSA10580, JSA10584, SA74, SUSE-SU-2011:1309-1, SUSE-SU-2011:1322-1, VIGILANCE-VUL-10823.

Description de la vulnérabilité

A l'ouverture d'une connexion utilisant SSL/TLS, un mécanisme de négociation permet au client et au serveur de se mettre d'accord sur l'algorithme de chiffrement a utiliser. Le protocole autorise une renégociation à n'importe quel moment de la connexion (par exemple si le client utilise un certificat).

Cependant, la renégociation est un algorithme complexe, qui nécessite beaucoup plus de ressources sur le serveur que sur le client.

Un client illicite peut donc demander de nombreuses renégociations à un serveur SSL/TLS, afin de le surcharger.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.