L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Unix - plateforme ~ non exhaustif

avis de vulnérabilité informatique CVE-2017-0379

Libgcrypt : obtention d'information via Curve25519 ECDH Side-channel

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, GnuPG, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Oracle Communications, Percona Server, XtraDB Cluster, Slackware, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/08/2017.
Références : cpujan2019, cpujul2018, CVE-2017-0379, DSA-3959-1, FEDORA-2017-8cd171f540, FEDORA-2017-bcdeca9d41, SSA:2017-261-02, USN-3417-1, VIGILANCE-VUL-23639.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Curve25519 ECDH Side-channel de Libgcrypt, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-1000115

Mercurial : création de fichier via symlink

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, Solaris, RHEL, Slackware, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2017.
Références : bulletinjul2017, CVE-2017-1000115, DLA-1072-1, DSA-3963-1, FEDORA-2017-f03b04acbb, FEDORA-2017-fa1d8ad61a, RHSA-2017:2489-01, SSA:2017-223-03, VIGILANCE-VUL-23536.

Description de la vulnérabilité

Un attaquant peut utiliser un lien symbolique avec Mercurial, afin de créer un fichier hors du dépôt.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2017-1000116

Mercurial : exécution de code via ssh

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, Solaris, RHEL, Slackware, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/08/2017.
Références : bulletinjul2017, CVE-2017-1000116, DLA-1072-1, DSA-3963-1, FEDORA-2017-f03b04acbb, FEDORA-2017-fa1d8ad61a, RHSA-2017:2489-01, SSA:2017-223-03, VIGILANCE-VUL-23504.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via ssh de Mercurial, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-1000117

Git : exécution de code via ssh

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, Kubernetes, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/08/2017.
Références : bulletinjul2017, CVE-2017-1000117, DLA-1068-1, DSA-3934-1, FEDORA-2017-8ba7572cfd, FEDORA-2017-b1b3ae6666, openSUSE-SU-2017:2182-1, openSUSE-SU-2017:2331-1, RHSA-2017:2484-01, RHSA-2017:2485-01, RHSA-2017:2491-01, SSA:2017-223-01, SUSE-SU-2017:2225-1, SUSE-SU-2017:2320-1, Synology-SA-17:41, USN-3387-1, VIGILANCE-VUL-23503.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via ssh de Git, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 23326

GLPI : multiples vulnérabilités

Synthèse de la vulnérabilité

Produits concernés : Fedora, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 24/07/2017.
Références : FEDORA-2017-a40590256c, FEDORA-2017-cc0b92f6c1, VIGILANCE-VUL-23326.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de GLPI.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique 23129

FFmpeg : multiples vulnérabilités

Synthèse de la vulnérabilité

Produits concernés : SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/07/2017.
Références : openSUSE-SU-2017:1765-1, VIGILANCE-VUL-23129.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de FFmpeg.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2017-2298

Puppet mcollective-ssh-security : création de fichier PEM

Synthèse de la vulnérabilité

Produits concernés : Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 03/07/2017.
Références : CVE-2017-2298, VIGILANCE-VUL-23112.

Description de la vulnérabilité

Un attaquant peut employer une identité incorrecte pour Puppet mcollective-ssh-security, afin de créer un fichier avec le suffixe "_pub.pem".
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2017-7526

Libgcrypt : obtention d'information via Flush Reload Side-channel Attack

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, GnuPG, openSUSE Leap, Solaris, Slackware, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/06/2017.
Références : bulletinoct2017, CVE-2017-7526, DLA-1015-1, DLA-1080-1, DSA-3901-1, DSA-3960-1, FEDORA-2017-3b70d0b976, FEDORA-2017-a348b32eb5, openSUSE-SU-2017:1822-1, SSA:2017-180-04, SSA:2017-213-01, USN-3347-1, USN-3347-2, USN-3733-1, USN-3733-2, VIGILANCE-VUL-23104.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Flush Reload Side-channel Attack de Libgcrypt, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-1000366

glibc : élévation de privilèges via Setuid Stack

Synthèse de la vulnérabilité

Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, Junos Space, Kubernetes, McAfee Web Gateway, openSUSE Leap, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/06/2017.
Date révision : 29/06/2017.
Références : CERTFR-2017-AVI-238, CERTFR-2017-AVI-365, CVE-2017-1000366, DLA-992-1, DSA-3887-1, FEDORA-2017-698daef73c, FEDORA-2017-79414fefa1, FEDORA-2017-d80ab96e61, JSA10824, JSA10826, JSA10917, K20486351, openSUSE-SU-2017:1629-1, RHSA-2017:1479-01, RHSA-2017:1480-01, RHSA-2017:1481-01, SB10205, SSA:2017-181-01, SUSE-SU-2017:1611-1, SUSE-SU-2017:1614-1, SUSE-SU-2017:1619-1, SUSE-SU-2017:1621-1, Synology-SA-17:22, USN-3323-1, USN-3323-2, VIGILANCE-VUL-23005.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Setuid Stack de glibc, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-1000377

GRSecurity/PaX : corruption de mémoire via Stack Clash

Synthèse de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire via Stack Clash de Sudo sur GRSecurity/PaX, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Sudo, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, déni de service du serveur, déni de service du service.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/06/2017.
Date révision : 20/06/2017.
Références : CVE-2017-1000377, VIGILANCE-VUL-23013.

Description de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire via Stack Clash sur GRSecurity/PaX, exploitable via sudo, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.