| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier. |
|
 |
|
|
Vulnérabilités informatiques de Tenable Nessus
OpenSSL : lecture de mémoire hors plage prévue via X.509 IPAddressFamily
Synthèse de la vulnérabilité
Un attaquant peut forcer la lecture à une adresse invalide via X.509 IPAddressFamily de OpenSSL, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : Mac OS X, Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, AIX, WebSphere MQ, Juniper J-Series, Junos OS, NSM Central Manager, NSMXpress, SRX-Series, MariaDB ~ précis, McAfee Web Gateway, MySQL Community, MySQL Enterprise, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, Percona Server, XtraDB Cluster, pfSense, RHEL, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WindRiver Linux, X2GoClient.
Gravité : 1/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Date création : 29/08/2017.
Références : 2011879, 2013026, 2014367, bulletinapr2018, cpuapr2018, cpujan2018, cpujan2019, cpujul2018, cpuoct2018, CVE-2017-3735, DSA-4017-1, DSA-4018-1, FEDORA-2017-4cf72e2c11, FEDORA-2017-512a6c5aae, FEDORA-2017-55a3247cfd, FEDORA-2017-7f30914972, FEDORA-2017-dbec196dd8, FreeBSD-SA-17:11.openssl, HT208331, HT208394, ibm10715641, ibm10738249, JSA10851, K21462542, openSUSE-SU-2017:3192-1, openSUSE-SU-2018:0029-1, openSUSE-SU-2018:0315-1, RHSA-2018:3221-01, SA157, SB10211, SUSE-SU-2017:2968-1, SUSE-SU-2017:2981-1, SUSE-SU-2018:0112-1, TNS-2017-15, USN-3475-1, VIGILANCE-VUL-23636.
Description de la vulnérabilité
Un attaquant peut forcer la lecture à une adresse invalide via X.509 IPAddressFamily de OpenSSL, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
PCRE : trois vulnérabilités
Synthèse de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de PCRE.
Produits concernés : Fedora, Solaris, Nessus.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 21/08/2017.
Références : bulletinjul2017, CERTFR-2018-AVI-288, CVE-2017-7244, CVE-2017-7245, CVE-2017-7246, FEDORA-2018-3238d4da59, TNS-2018-08, VIGILANCE-VUL-23592.
Description de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de PCRE.
Bulletin Vigil@nce complet... (Essai gratuit) |
XML Security Library : injection d'entité XML externe
Synthèse de la vulnérabilité
Un attaquant peut transmettre des données XML malveillantes à XML Security Library (xmlsec), afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Produits concernés : RHEL, Nessus.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : document.
Date création : 21/08/2017.
Références : CERTFR-2018-AVI-288, CVE-2017-1000061, RHSA-2017:2492-01, TNS-2018-08, VIGILANCE-VUL-23586.
Description de la vulnérabilité
Les données XML peuvent contenir des entités externes (DTD) :
<!ENTITY nom SYSTEM "fichier">
<!ENTITY nom SYSTEM "http://serveur/fichier">
Un programme lisant ces données XML peut remplacer ces entités par les données provenant du fichier indiqué. Lorsque le programme utilise des données XML de provenance non sûre, ce comportement permet de :
- lire le contenu de fichiers situés sur le serveur
- scanner des sites web privés
- mener un déni de service en ouvrant un fichier bloquant
Cette fonctionnalité doit donc être désactivée pour traiter des données XML de provenance non sûre.
Cependant, le parseur de XML Security Library autorise les entités externes.
Un attaquant peut donc transmettre des données XML malveillantes à XML Security Library (xmlsec), afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
Nessus : Man-in-the-Middle
Synthèse de la vulnérabilité
Un attaquant peut se positionner en Man-in-the-Middle sur Nessus, afin de lire ou modifier des données de la session.
Produits concernés : Nessus.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Date création : 09/08/2017.
Références : CVE-2017-11506, TNS-2017-11, VIGILANCE-VUL-23486.
Description de la vulnérabilité
Le produit Nessus utilise le protocole TLS afin de créer des sessions sécurisées.
Cependant, le certificat X.509 et l'identité du service ne sont pas correctement vérifiés.
Un attaquant peut donc se positionner en Man-in-the-Middle sur Nessus, afin de lire ou modifier des données de la session.
Bulletin Vigil@nce complet... (Essai gratuit) |
expat : débordement d'entier via XML_Parse
Synthèse de la vulnérabilité
Un attaquant peut provoquer un débordement d'entier via XML_Parse() de expat, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Fedora, openSUSE Leap, Python, Slackware, Nessus, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 12/07/2017.
Références : APPLE-SA-2017-09-19-1, APPLE-SA-2017-09-25-1, APPLE-SA-2017-09-25-4, CERTFR-2018-AVI-288, CVE-2016-9063, FEDORA-2017-18601ad5d2, FEDORA-2017-2c5635cd97, FEDORA-2017-a44f9aa38b, HT208144, openSUSE-SU-2017:2336-1, SSA:2017-266-02, SSA:2018-124-01, TNS-2018-08, VIGILANCE-VUL-23211.
Description de la vulnérabilité
Un attaquant peut provoquer un débordement d'entier via XML_Parse() de expat, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
libxml2 : vulnérabilité via xmlParsePEReference
Synthèse de la vulnérabilité
Une vulnérabilité via xmlParsePEReference() de libxml2 a été annoncée.
Produits concernés : Debian, Android OS, Junos OS, openSUSE Leap, Nessus, Ubuntu, VxWorks.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Date création : 03/07/2017.
Références : CERTFR-2018-AVI-288, CVE-2017-7375, DLA-1008-1, DSA-3952-1, JSA10916, K-511315, openSUSE-SU-2017:1810-1, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-23114.
Description de la vulnérabilité
Une vulnérabilité via xmlParsePEReference() de libxml2 a été annoncée.
Bulletin Vigil@nce complet... (Essai gratuit) |
expat : boucle infinie
Synthèse de la vulnérabilité
Un attaquant peut provoquer une boucle infinie de expat, afin de mener un déni de service.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Debian, Fedora, openSUSE Leap, Solaris, Python, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 19/06/2017.
Références : APPLE-SA-2017-09-19-1, APPLE-SA-2017-09-25-1, APPLE-SA-2017-09-25-4, bulletinjul2017, CERTFR-2018-AVI-288, CVE-2017-9233, DLA-990-1, DSA-3898-1, FEDORA-2017-18601ad5d2, FEDORA-2017-2c5635cd97, FEDORA-2017-a44f9aa38b, HT208144, openSUSE-SU-2017:2336-1, SSA:2017-266-02, SSA:2018-124-01, TNS-2018-08, USN-3356-1, USN-3356-2, VIGILANCE-VUL-22988.
Description de la vulnérabilité
Un attaquant peut provoquer une boucle infinie de expat, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
libxslt : obtention d'information via Random Generator
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Random Generator de libxslt, afin d'obtenir des informations sensibles.
Produits concernés : openSUSE Leap, Nessus.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 24/05/2017.
Références : CERTFR-2018-AVI-288, CVE-2015-9019, openSUSE-SU-2017:1390-1, TNS-2018-08, VIGILANCE-VUL-22810.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via Random Generator de libxslt, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
libxml2 : buffer overflow via xmlDictAddString
Synthèse de la vulnérabilité
Un attaquant peut provoquer un buffer overflow via xmlDictAddString() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 15/05/2017.
Références : 781361, CERTFR-2018-AVI-288, CVE-2017-9050, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22726.
Description de la vulnérabilité
Un attaquant peut provoquer un buffer overflow via xmlDictAddString() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
libxml2 : buffer overflow via xmlDictComputeFastKey
Synthèse de la vulnérabilité
Un attaquant peut provoquer un buffer overflow via xmlDictComputeFastKey() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 15/05/2017.
Références : 781205, CERTFR-2018-AVI-288, CVE-2017-9049, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22725.
Description de la vulnérabilité
Un attaquant peut provoquer un buffer overflow via xmlDictComputeFastKey() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.
Consulter les informations sur Tenable Nessus :
|