| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier. |
|
 |
|
|
Vulnérabilités informatiques de Tenable Nessus
Tenable Nessus : élévation de privilèges via Session Fixation
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions via Session Fixation de Tenable Nessus, afin d'élever ses privilèges.
Produits concernés : Nessus.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 16/05/2018.
Références : CERTFR-2018-AVI-237, CVE-2018-1148, TNS-2018-05, VIGILANCE-VUL-26148.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions via Session Fixation de Tenable Nessus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit) |
Tenable Nessus : Cross Site Scripting
Synthèse de la vulnérabilité
Un attaquant peut provoquer un Cross Site Scripting de Tenable Nessus, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nessus.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 16/05/2018.
Références : CERTFR-2018-AVI-237, CVE-2018-1147, JVN#96954395, TNS-2018-05, VIGILANCE-VUL-26147.
Description de la vulnérabilité
Le produit Tenable Nessus dispose d'un service web.
Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.
Un attaquant peut donc provoquer un Cross Site Scripting de Tenable Nessus, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : obtention d'information via RSA Constant Time Key Generation
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via RSA Constant Time Key Generation de OpenSSL, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Fedora, AIX, BladeCenter, IBM i, Juniper EX-Series, Juniper J-Series, Junos OS, SRX-Series, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Nodejs Core, OpenBSD, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, VirtualBox, WebLogic, Palo Alto Firewall PA***, PAN-OS, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, X2GoClient.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 17/04/2018.
Références : bulletinjul2018, CERTFR-2018-AVI-511, CERTFR-2018-AVI-607, cpuapr2019, cpujan2019, cpujul2019, cpuoct2018, CVE-2018-0737, DLA-1449-1, DSA-4348-1, DSA-4355-1, FEDORA-2019-00c25b9379, ibm10729805, ibm10743283, ibm10880781, JSA10919, openSUSE-SU-2018:2695-1, openSUSE-SU-2018:2957-1, openSUSE-SU-2018:3015-1, openSUSE-SU-2019:0152-1, openSUSE-SU-2019:1432-1, PAN-SA-2018-0015, RHSA-2018:3221-01, SSA:2018-226-01, SUSE-SU-2018:2486-1, SUSE-SU-2018:2492-1, SUSE-SU-2018:2683-1, SUSE-SU-2018:2928-1, SUSE-SU-2018:2965-1, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2019:0197-1, SUSE-SU-2019:0512-1, SUSE-SU-2019:1553-1, TNS-2018-14, TNS-2018-17, TSB17568, USN-3628-1, USN-3628-2, USN-3692-1, USN-3692-2, VIGILANCE-VUL-25884.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions d'accès aux données via RSA Constant Time Key Generation de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
libxml2 : déni de service via xz_head
Synthèse de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via xz_head() de libxml2, afin de mener un déni de service.
Produits concernés : Debian, Junos OS, libxml, openSUSE Leap, Solaris, SUSE Linux Enterprise Desktop, SLES, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 09/04/2018.
Références : bulletinapr2019, CERTFR-2018-AVI-288, CVE-2017-18258, DLA-1524-1, JSA10916, openSUSE-SU-2018:3107-1, SUSE-SU-2018:3081-1, TNS-2018-08, USN-3739-1, USN-3739-2, VIGILANCE-VUL-25798.
Description de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via xz_head() de libxml2, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
libxml2 : boucle infinie via xz_decomp
Synthèse de la vulnérabilité
Un attaquant peut provoquer une boucle infinie via xz_decomp() de libxml2, afin de mener un déni de service.
Produits concernés : Debian, Junos OS, libxml, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Nessus.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 04/04/2018.
Références : 794914, CERTFR-2018-AVI-288, CVE-2018-9251, DLA-1524-1, JSA10916, openSUSE-SU-2018:3107-1, openSUSE-SU-2018:3110-1, SUSE-SU-2018:3080-1, SUSE-SU-2018:3081-1, TNS-2018-08, VIGILANCE-VUL-25771.
Description de la vulnérabilité
Un attaquant peut provoquer une boucle infinie via xz_decomp() de libxml2, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
Tenable Nessus : élévation de privilèges via Installation Directory
Synthèse de la vulnérabilité
Un attaquant peut contourner les restrictions via Installation Directory de Tenable Nessus, afin d'élever ses privilèges.
Produits concernés : Nessus.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 20/03/2018.
Références : CERTFR-2018-AVI-139, CVE-2018-1141, TNS-2018-01, VIGILANCE-VUL-25601.
Description de la vulnérabilité
Un attaquant peut contourner les restrictions via Installation Directory de Tenable Nessus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit) |
Node.js moment : déni de service via Regular Expression
Synthèse de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Regular Expression de Node.js moment, afin de mener un déni de service.
Produits concernés : Nodejs Modules ~ non exhaustif, Nessus.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 28/11/2017.
Références : CERTFR-2019-AVI-132, CVE-2017-18214, TNS-2019-02, VIGILANCE-VUL-24557.
Description de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Regular Expression de Node.js moment, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
libxml2 : boucle infinie via parser.c
Synthèse de la vulnérabilité
Un attaquant peut provoquer une boucle infinie via parser.c de libxml2, afin de mener un déni de service.
Produits concernés : Debian, libxml, Nessus, Ubuntu.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 24/11/2017.
Références : CERTFR-2018-AVI-288, CVE-2017-16932, DLA-1194-1, TNS-2018-08, USN-3504-1, USN-3504-2, VIGILANCE-VUL-24528.
Description de la vulnérabilité
Un attaquant peut provoquer une boucle infinie via parser.c de libxml2, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
libxml2 : déni de service via Parameter-entity References
Synthèse de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Parameter-entity References de libxml2, afin de mener un déni de service.
Produits concernés : Debian, libxml, Nessus.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 24/11/2017.
Références : CERTFR-2018-AVI-288, CVE-2017-16931, DLA-1194-1, TNS-2018-08, VIGILANCE-VUL-24527.
Description de la vulnérabilité
Un attaquant peut provoquer une erreur fatale via Parameter-entity References de libxml2, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : lecture de mémoire hors plage prévue via X.509 IPAddressFamily
Synthèse de la vulnérabilité
Un attaquant peut forcer la lecture à une adresse invalide via X.509 IPAddressFamily de OpenSSL, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : Mac OS X, Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, Fedora, FreeBSD, hMailServer, AIX, WebSphere MQ, Juniper J-Series, Junos OS, NSM Central Manager, NSMXpress, SRX-Series, MariaDB ~ précis, McAfee Web Gateway, MySQL Community, MySQL Enterprise, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, Percona Server, pfSense, RHEL, stunnel, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, SGOS par Symantec, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, X2GoClient.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Date création : 02/11/2017.
Références : 2011879, 2013026, 2014367, bulletinapr2018, CERTFR-2017-AVI-391, cpuapr2018, cpuapr2019, cpujan2018, cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2017-3735, DSA-4017-1, DSA-4018-1, FEDORA-2017-4cf72e2c11, FEDORA-2017-512a6c5aae, FEDORA-2017-55a3247cfd, FEDORA-2017-7f30914972, FEDORA-2017-dbec196dd8, FreeBSD-SA-17:11.openssl, HT208331, HT208394, ibm10715641, ibm10738249, JSA10851, openSUSE-SU-2017:3192-1, openSUSE-SU-2018:0029-1, openSUSE-SU-2018:0315-1, RHSA-2018:3221-01, SA157, SB10211, SUSE-SU-2017:2968-1, SUSE-SU-2017:2981-1, SUSE-SU-2018:0112-1, TNS-2017-15, USN-3475-1, VIGILANCE-VUL-24317.
Description de la vulnérabilité
Un attaquant peut forcer la lecture à une adresse invalide via X.509 IPAddressFamily de OpenSSL, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.
Consulter les informations sur Tenable Nessus :
|