| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier. |
|
 |
|
|
Vulnérabilités informatiques de WebLogic
OpenSSL, LibReSSL, Mono, JSSE : affaiblissement du chiffrement TLS via FREAK
Synthèse de la vulnérabilité
Un attaquant, placé en Man-in-the-middle, peut forcer le client Chrome, JSSE, LibReSSL, Mono ou OpenSSL à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Produits concernés : Arkoon FAST360, ArubaOS, Avaya Ethernet Routing Switch, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Cisco ATA, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco ESA, IOS par Cisco, IronPort Email, IronPort Web, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Prime Network Control Systems, Cisco PRSM, Cisco Router, Cisco IP Phone, Cisco MeetingPlace, Cisco WSA, Clearswift Email Gateway, Debian, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiClient, FortiGate, FortiGate Virtual Appliance, FortiOS, FreeBSD, Chrome, HPE NNMi, HP-UX, AIX, DB2 UDB, Domino, Notes, IRAD, Security Directory Server, Tivoli Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Juniper SBR, MBS, McAfee Email Gateway, ePO, McAfee NTBA, McAfee NGFW, VirusScan, McAfee Web Gateway, Windows (plateforme) ~ non exhaustif, Data ONTAP, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, OpenBSD, Java OpenJDK, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Java Oracle, Solaris, Tuxedo, WebLogic, pfSense, Puppet, RHEL, Base SAS Software, SAS SAS/CONNECT, Slackware, Sophos AV, Splunk Enterprise, Stonesoft NGFW/VPN, stunnel, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 04/03/2015.
Date révision : 09/03/2015.
Références : 122007, 1450666, 1610582, 1647054, 1698613, 1699051, 1699810, 1700225, 1700997, 1701485, 1902260, 1903541, 1963275, 1968485, 1973383, 55767, 7014463, 7022958, 9010028, ARUBA-PSA-2015-003, bulletinjan2015, c04556853, c04679334, c04773241, CERTFR-2015-AVI-108, CERTFR-2015-AVI-117, CERTFR-2015-AVI-146, CERTFR-2016-AVI-303, cisco-sa-20150310-ssl, cpuapr2017, cpujul2018, cpuoct2017, CTX216642, CVE-2015-0138, CVE-2015-0204, DSA-3125-1, FEDORA-2015-0512, FEDORA-2015-0601, FG-IR-15-007, FREAK, FreeBSD-SA-15:01.openssl, HPSBMU03345, HPSBUX03244, HPSBUX03334, JSA10679, MDVSA-2015:019, MDVSA-2015:062, MDVSA-2015:063, NetBSD-SA2015-006, NetBSD-SA2015-007, NTAP-20150205-0001, openSUSE-SU-2015:0130-1, openSUSE-SU-2016:0640-1, RHSA-2015:0066-01, RHSA-2015:0800-01, RHSA-2015:1020-01, RHSA-2015:1021-01, RHSA-2015:1091-01, SA40015, SA88, SA91, SB10108, SB10110, SOL16120, SOL16123, SOL16124, SOL16126, SOL16135, SOL16136, SOL16139, SP-CAAANXD, SPL-95203, SPL-95206, SSA:2015-009-01, SSRT101885, SSRT102000, SUSE-SU-2015:1073-1, SUSE-SU-2015:1085-1, SUSE-SU-2015:1086-1, SUSE-SU-2015:1086-2, SUSE-SU-2015:1086-3, SUSE-SU-2015:1086-4, SUSE-SU-2015:1138-1, SUSE-SU-2015:1161-1, T1022075, USN-2459-1, VIGILANCE-VUL-16301, VN-2015-003_FREAK, VU#243585.
Description de la vulnérabilité
Le protocole TLS utilise une succession de messages, que le client et le serveur doivent échanger, avant d'établir une session sécurisée.
Plusieurs algorithmes cryptographiques sont négociables, dont les algorithmes compatibles avec l'export USA (moins de 512 bits).
Un attaquant placé en Man-in-the-middle peut injecter en début de session TLS un message choisissant un algorithme d'export. Ce message devrait générer une erreur, cependant certains clients TLS l'acceptent.
Note : la variante concernant Windows est décrite dans VIGILANCE-VUL-16332.
Un attaquant, placé en Man-in-the-middle, peut donc forcer le client Chrome, JSSE, LibReSSL, Mono ou OpenSSL à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Bulletin Vigil@nce complet... (Essai gratuit) |
JasPer : deux vulnérabilités
Synthèse de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de JasPer.
Produits concernés : Debian, Fedora, MBS, openSUSE, openSUSE Leap, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Tuxedo, WebLogic, RHEL, Slackware, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 22/01/2015.
Références : cpujul2018, CVE-2014-8157, CVE-2014-8158, DSA-3138-1, FEDORA-2015-1062, FEDORA-2015-1068, FEDORA-2015-1125, FEDORA-2015-1159, MDVSA-2015:034, MDVSA-2015:159, oCERT-2015-001, openSUSE-SU-2015:0200-1, openSUSE-SU-2016:2737-1, openSUSE-SU-2016:2833-1, RHSA-2015:0074-01, RHSA-2015:0698-01, SSA:2015-302-02, USN-2483-1, USN-2483-2, VIGILANCE-VUL-16030.
Description de la vulnérabilité
Plusieurs vulnérabilités ont été annoncées dans JasPer.
Un attaquant peut provoquer un buffer overflow dans jpc_dec_process_sot(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2014-8157]
Un attaquant peut provoquer un remplissage de pile dans jpc_qmfb.c, afin de mener un déni de service. [grav:1/4; CVE-2014-8158]
Bulletin Vigil@nce complet... (Essai gratuit) |
Oracle Fusion : multiples vulnérabilités de janvier 2015
Synthèse de la vulnérabilité
Plusieurs vulnérabilités de Oracle Fusion ont été annoncées en janvier 2015.
Produits concernés : Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 34.
Date création : 21/01/2015.
Références : cpujan2015, CVE-2011-1944, CVE-2011-3389, CVE-2011-3607, CVE-2013-0338, CVE-2013-1741, CVE-2013-2186, CVE-2013-2877, CVE-2013-4286, CVE-2013-5704, CVE-2013-6438, CVE-2014-0098, CVE-2014-0114, CVE-2014-0191, CVE-2014-0224, CVE-2014-0226, CVE-2014-6526, CVE-2014-6548, CVE-2014-6569, CVE-2014-6571, CVE-2014-6576, CVE-2014-6580, CVE-2014-6592, CVE-2015-0362, CVE-2015-0367, CVE-2015-0372, CVE-2015-0376, CVE-2015-0386, CVE-2015-0389, CVE-2015-0396, CVE-2015-0399, CVE-2015-0401, CVE-2015-0414, CVE-2015-0420, CVE-2015-0434, RHSA-2018:2669-01, VIGILANCE-VUL-16012.
Description de la vulnérabilité
Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion.
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2011-1944]
Un attaquant peut employer une vulnérabilité de Oracle Exalogic Infrastructure, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0224]
Un attaquant peut employer une vulnérabilité de Oracle Directory Server Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2013-1741]
Un attaquant peut employer une vulnérabilité de Oracle GlassFish Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-0396]
Un attaquant peut employer une vulnérabilité de Oracle Real-Time Decision Server, Oracle Waveset, ou Oracle WebLogic Portal, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0114]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2013-2186]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-0226]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-6571]
Un attaquant peut employer une vulnérabilité de BI Publisher (XML Publisher), afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2013-4286]
Un attaquant peut employer une vulnérabilité de Oracle Adaptive Access Manager, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-6576]
Un attaquant peut employer une vulnérabilité de BI Publisher (XML Publisher), afin d'obtenir des informations. [grav:2/4; CVE-2015-0362]
Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'altérer des informations. [grav:2/4; CVE-2015-0367]
Un attaquant peut employer une vulnérabilité de Oracle Containers for J2EE, afin d'obtenir des informations. [grav:2/4; CVE-2015-0372]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2013-2877]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2014-0098]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2013-6438]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2013-5704]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations. [grav:2/4; CVE-2014-6569]
Un attaquant peut employer une vulnérabilité de Oracle SOA Suite, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2014-6548]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2011-3607]
Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'obtenir des informations. [grav:2/4; CVE-2015-0434]
Un attaquant peut employer une vulnérabilité de Oracle Directory Server Enterprise Edition, afin d'altérer des informations. [grav:2/4; CVE-2014-6526]
Un attaquant peut employer une vulnérabilité de Oracle Forms, afin d'obtenir des informations. [grav:2/4; CVE-2015-0420]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2014-0191]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2013-0338]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin de mener un déni de service. [grav:2/4; CVE-2015-0386]
Un attaquant peut employer une vulnérabilité de Oracle Reports Developer, afin d'altérer des informations. [grav:2/4; CVE-2014-6580]
Un attaquant peut employer une vulnérabilité de Oracle Security Service, afin d'obtenir des informations. [grav:2/4; CVE-2011-3389]
Un attaquant peut employer une vulnérabilité de Oracle WebCenter Content, afin d'altérer des informations. [grav:2/4; CVE-2015-0376]
Un attaquant peut employer une vulnérabilité de Oracle Business Intelligence Enterprise Edition, afin d'obtenir des informations. [grav:1/4; CVE-2015-0399]
Un attaquant peut employer une vulnérabilité de Oracle Directory Server Enterprise Edition, afin d'altérer des informations. [grav:2/4; CVE-2015-0401]
Un attaquant peut employer une vulnérabilité de Oracle OpenSSO, afin d'altérer des informations. [grav:2/4; CVE-2015-0389]
Un attaquant peut employer une vulnérabilité de Oracle OpenSSO, afin d'altérer des informations. [grav:1/4; CVE-2014-6592]
Un attaquant peut employer une vulnérabilité de Oracle SOA Suite, afin d'obtenir des informations. [grav:2/4; CVE-2015-0414]
Bulletin Vigil@nce complet... (Essai gratuit) |
OpenSSL : multiples vulnérabilités
Synthèse de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Produits concernés : ArubaOS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Cisco ATA, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco ESA, IOS par Cisco, IronPort Email, IronPort Web, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Prime Network Control Systems, Cisco PRSM, Cisco Router, Cisco IP Phone, Cisco MeetingPlace, Cisco WSA, Clearswift Email Gateway, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, DB2 UDB, Domino, Notes, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Juniper SBR, MBS, McAfee Email Gateway, McAfee Web Gateway, Data ONTAP, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, pfSense, Puppet, RHEL, Base SAS Software, SAS SAS/CONNECT, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 08/01/2015.
Références : 1610582, 1699810, 1700997, 1902260, 1903541, 1973383, 55767, 9010028, ARUBA-PSA-2015-003, bulletinjan2015, c04556853, c04679334, CERTFR-2015-AVI-008, CERTFR-2015-AVI-108, CERTFR-2015-AVI-146, CERTFR-2016-AVI-303, cisco-sa-20150310-ssl, cpuapr2017, cpujul2018, cpuoct2016, cpuoct2017, CTX216642, CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-8275, CVE-2015-0204, CVE-2015-0205, CVE-2015-0206, DSA-3125-1, FEDORA-2015-0512, FEDORA-2015-0601, FreeBSD-SA-15:01.openssl, HPSBUX03244, HPSBUX03334, JSA10679, MDVSA-2015:019, MDVSA-2015:062, MDVSA-2015:063, NetBSD-SA2015-006, NetBSD-SA2015-007, NTAP-20150205-0001, openSUSE-SU-2015:0130-1, openSUSE-SU-2015:1277-1, openSUSE-SU-2016:0640-1, RHSA-2015:0066-01, RHSA-2015:0800-01, SA40015, SA88, SB10108, SOL16120, SOL16123, SOL16124, SOL16126, SOL16135, SOL16136, SOL16139, SP-CAAANXD, SPL-95203, SPL-95206, SSA:2015-009-01, SSRT101885, SSRT102000, SUSE-SU-2015:1138-1, SUSE-SU-2015:1161-1, USN-2459-1, VIGILANCE-VUL-15934, VU#243585.
Description de la vulnérabilité
Plusieurs vulnérabilités ont été annoncées dans OpenSSL.
Un attaquant peut envoyer un message DTLS, pour forcer le déréférencement d'un pointeur NULL dans dtls1_get_record(), afin de mener un déni de service. [grav:2/4; CVE-2014-3571]
Un attaquant peut envoyer un message DTLS, pour provoquer une fuite mémoire dans dtls1_buffer_record(), afin de mener un déni de service. [grav:1/4; CVE-2015-0206]
Un attaquant peut forcer un client TLS à utiliser ECDH au lieu de ECDHE (ephemeral). [grav:2/4; CVE-2014-3572]
Un attaquant peut forcer un client TLS à utiliser EXPORT_RSA au lieu de RSA (VIGILANCE-VUL-16301). [grav:2/4; CVE-2015-0204, VU#243585]
Un attaquant peut s'authentifier sans utiliser de clé privé, dans le cas où le serveur fait confiance à une autorité de certification qui publie des certificats avec des clés DH (cas rare) (VIGILANCE-VUL-16300). [grav:2/4; CVE-2015-0205]
Un attaquant peut changer l'empreinte d'un certificat, sans conséquence connue sur la sécurité. [grav:1/4; CVE-2014-8275]
Dans certains cas peu probables, la fonction BN_sqr() fournit un résultat incorrect, sans conséquence connue sur la sécurité. [grav:1/4; CVE-2014-3570]
Bulletin Vigil@nce complet... (Essai gratuit) |
JasPer : deux vulnérabilités de jpc_dec.c
Synthèse de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités de JasPer.
Produits concernés : Debian, Fedora, MBS, openSUSE, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Tuxedo, WebLogic, RHEL, Slackware, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 04/12/2014.
Références : 1167537, cpujul2018, CVE-2014-9029, DSA-3089-1, FEDORA-2014-16292, FEDORA-2014-16349, FEDORA-2014-16465, FEDORA-2014-16961, FEDORA-2014-17027, FEDORA-2014-17032, MDVSA-2014:247, MDVSA-2015:159, openSUSE-SU-2014:1644-1, openSUSE-SU-2016:2737-1, RHSA-2014:2021-01, RHSA-2015:0698-01, SSA:2015-302-02, USN-2434-1, USN-2434-2, VIGILANCE-VUL-15743.
Description de la vulnérabilité
Plusieurs vulnérabilités ont été annoncées dans JasPer.
Un attaquant peut provoquer un buffer overflow dans jpc_dec_cp_setfromcox(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4]
Un attaquant peut provoquer un buffer overflow dans jpc_dec_cp_setfromrgn(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4]
Bulletin Vigil@nce complet... (Essai gratuit) |
SSL 3.0 : déchiffrement de session, POODLE
Synthèse de la vulnérabilité
Un attaquant, placé en Man-in-the-Middle, peut déchiffrer une session SSL 3.0, afin d'obtenir des informations sensibles.
Produits concernés : SES, SNS, Apache httpd, Arkoon FAST360, ArubaOS, Asterisk Open Source, BES, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, GAiA, CheckPoint IP Appliance, IPSO, SecurePlatform, CheckPoint Security Appliance, CheckPoint Security Gateway, Cisco ASR, Cisco ACE, ASA, AsyncOS, Cisco CSS, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, IronPort Email, Nexus par Cisco, NX-OS, Prime Infrastructure, Cisco PRSM, Cisco Router, WebNS, Clearswift Email Gateway, Clearswift Web Gateway, CUPS, Debian, Black Diamond, ExtremeXOS, Ridgeline, Summit, BIG-IP Hardware, TMOS, Fedora, FortiGate, FortiGate Virtual Appliance, FortiManager, FortiManager Virtual Appliance, FortiOS, FreeBSD, F-Secure AV, hMailServer, HPE BSM, HP Data Protector, HPE NNMi, HP Operations, ProCurve Switch, SiteScope, HP Switch, TippingPoint IPS, HP-UX, AIX, Domino, Notes, Security Directory Server, SPSS Data Collection, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, WS_FTP Server, IVE OS, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, MAG Series par Juniper, NSM Central Manager, NSMXpress, Juniper SA, MBS, McAfee Email and Web Security, McAfee Email Gateway, ePO, VirusScan, McAfee Web Gateway, IE, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Windows Vista, NETASQ, NetBSD, NetIQ Sentinel, NetScreen Firewall, ScreenOS, nginx, Nodejs Core, OpenSSL, openSUSE, openSUSE Leap, Oracle DB, Oracle Fusion Middleware, Oracle Identity Management, Oracle OIT, Solaris, Tuxedo, WebLogic, Palo Alto Firewall PA***, PAN-OS, Polycom CMA, HDX, RealPresence Collaboration Server, RealPresence Distributed Media Application, Polycom VBP, Postfix, SSL (protocole), Puppet, RHEL, JBoss EAP par Red Hat, RSA Authentication Manager, ROS, ROX, RuggedSwitch, Slackware, Orolia SecureSync, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, WindRiver Linux, WinSCP.
Gravité : 3/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client internet.
Date création : 15/10/2014.
Références : 10923, 1589583, 1595265, 1653364, 1657963, 1663874, 1687167, 1687173, 1687433, 1687604, 1687611, 1690160, 1690185, 1690342, 1691140, 1692551, 1695392, 1696383, 1699051, 1700706, 2977292, 3009008, 7036319, aid-10142014, AST-2014-011, bulletinapr2015, bulletinjan2015, bulletinjan2016, bulletinjul2015, bulletinjul2016, bulletinoct2015, c04486577, c04487990, c04492722, c04497114, c04506802, c04510230, c04567918, c04616259, c04626982, c04676133, c04776510, CERTFR-2014-ALE-007, CERTFR-2014-AVI-454, CERTFR-2014-AVI-509, CERTFR-2015-AVI-169, CERTFR-2016-AVI-303, cisco-sa-20141015-poodle, cpujul2017, CTX216642, CVE-2014-3566, DSA-3053-1, DSA-3253-1, DSA-3489-1, ESA-2014-178, ESA-2015-098, ESXi500-201502001, ESXi500-201502101-SG, ESXi510-201503001, ESXi510-201503001-SG, ESXi510-201503101-SG, ESXi550-201501001, ESXi550-201501101-SG, FEDORA-2014-12989, FEDORA-2014-12991, FEDORA-2014-13012, FEDORA-2014-13017, FEDORA-2014-13040, FEDORA-2014-13069, FEDORA-2014-13070, FEDORA-2014-13444, FEDORA-2014-13451, FEDORA-2014-13764, FEDORA-2014-13777, FEDORA-2014-13781, FEDORA-2014-13794, FEDORA-2014-14234, FEDORA-2014-14237, FEDORA-2014-15379, FEDORA-2014-15390, FEDORA-2014-15411, FEDORA-2014-17576, FEDORA-2014-17587, FEDORA-2015-9090, FEDORA-2015-9110, FreeBSD-SA-14:23.openssl, FSC-2014-8, HPSBGN03256, HPSBGN03305, HPSBGN03332, HPSBHF03156, HPSBHF03300, HPSBMU03152, HPSBMU03184, HPSBMU03213, HPSBMU03416, HPSBUX03162, HPSBUX03194, JSA10656, MDVSA-2014:203, MDVSA-2014:218, MDVSA-2015:062, NetBSD-SA2014-015, nettcp_advisory, openSUSE-SU-2014:1331-1, openSUSE-SU-2014:1384-1, openSUSE-SU-2014:1395-1, openSUSE-SU-2014:1426-1, openSUSE-SU-2016:0640-1, openSUSE-SU-2016:1586-1, openSUSE-SU-2017:0980-1, PAN-SA-2014-0005, POODLE, RHSA-2014:1652-01, RHSA-2014:1653-01, RHSA-2014:1692-01, RHSA-2014:1920-01, RHSA-2014:1948-01, RHSA-2015:0010-01, RHSA-2015:0011-01, RHSA-2015:0012-01, RHSA-2015:1545-01, RHSA-2015:1546-01, SA83, SB10090, SB10104, sk102989, SOL15702, SP-CAAANKE, SP-CAAANST, SPL-91947, SPL-91948, SSA:2014-288-01, SSA-396873, SSA-472334, SSRT101767, STORM-2014-02-FR, SUSE-SU-2014:1357-1, SUSE-SU-2014:1361-1, SUSE-SU-2014:1386-1, SUSE-SU-2014:1387-1, SUSE-SU-2014:1387-2, SUSE-SU-2014:1409-1, SUSE-SU-2015:0010-1, SUSE-SU-2016:1457-1, SUSE-SU-2016:1459-1, T1021439, TSB16540, USN-2839-1, VIGILANCE-VUL-15485, VMSA-2015-0001, VMSA-2015-0001.1, VMSA-2015-0001.2, VN-2014-003, VU#577193.
Description de la vulnérabilité
Les sessions SSL/TLS peuvent être établies en utilisant plusieurs protocoles :
- SSL 2.0 (obsolète)
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
Un attaquant peut abaisser la version (downgrade) en SSLv3. Cependant, avec SSL 3.0, un attaquant peut modifier la position du padding (octets de bourrage) en chiffrement CBC, afin de progressivement deviner des fragments d'information en clair.
Cette vulnérabilité porte le nom POODLE (Padding Oracle On Downgraded Legacy Encryption).
Un attaquant, placé en Man-in-the-Middle, peut donc déchiffrer une session SSL 3.0, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit) |
Oracle Fusion : multiples vulnérabilités d'octobre 2014
Synthèse de la vulnérabilité
Plusieurs vulnérabilités de Oracle Fusion ont été annoncées en octobre 2014.
Produits concernés : Oracle Fusion Middleware, Oracle Identity Management, WebLogic, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 16.
Date création : 15/10/2014.
Références : cpuoct2014, CVE-2013-1741, CVE-2014-0050, CVE-2014-0114, CVE-2014-0119, CVE-2014-0224, CVE-2014-2880, CVE-2014-6462, CVE-2014-6487, CVE-2014-6499, CVE-2014-6522, CVE-2014-6534, CVE-2014-6552, CVE-2014-6553, CVE-2014-6554, ERPSCAN-14-022, RHSA-2018:2669-01, USN-2654-1, VIGILANCE-VUL-15481.
Description de la vulnérabilité
Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion.
Un attaquant peut employer une vulnérabilité de Oracle Adaptive Access Manager, Oracle Enterprise Data Quality, et Oracle Identity Manager, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-14799). [grav:3/4; CVE-2014-0114]
Un attaquant peut employer une vulnérabilité de Oracle OpenSSO, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-13789). [grav:3/4; CVE-2013-1741]
Un attaquant peut employer une vulnérabilité de Oracle Endeca Information Discovery Studio, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-14844). [grav:3/4; CVE-2014-0224]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2014-6499]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service (VIGILANCE-VUL-14799). [grav:2/4; CVE-2014-0114]
Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'altérer des informations. [grav:2/4; CVE-2014-6553]
Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-6554]
Un attaquant peut employer une vulnérabilité de Oracle Endeca Information Discovery Studio, afin de mener un déni de service (VIGILANCE-VUL-14183). [grav:2/4; CVE-2014-0050]
Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'altérer des informations. [grav:2/4; CVE-2014-6552]
Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'altérer des informations. [grav:2/4; CVE-2014-6462]
Un attaquant peut employer une vulnérabilité de Oracle Enterprise Data Quality, afin d'obtenir des informations (VIGILANCE-VUL-14809). [grav:2/4; CVE-2014-0119]
Un attaquant peut employer une vulnérabilité de Oracle Identity Manager, afin d'altérer des informations. [grav:2/4; CVE-2014-2880]
Un attaquant peut employer une vulnérabilité de Oracle JDeveloper, afin d'altérer des informations. [grav:2/4; CVE-2014-6522]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'altérer des informations. [grav:2/4; CVE-2014-6534]
Un attaquant peut employer une vulnérabilité de Oracle Identity Manager, afin d'altérer des informations. [grav:1/4; CVE-2014-6487]
Un attaquant peut utiliser une vulnérabilité de Oracle JDeveloper (VIGILANCE-VUL-14799). [grav:1/4; CVE-2014-0114]
Bulletin Vigil@nce complet... (Essai gratuit) |
Oracle Fusion : multiples vulnérabilités de juillet 2014
Synthèse de la vulnérabilité
Plusieurs vulnérabilités de Oracle Fusion ont été annoncées en juillet 2014.
Produits concernés : Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, WebLogic, Oracle Web Tier.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 26.
Date création : 16/07/2014.
Références : CERTFR-2014-AVI-313, cpujul2014, CVE-2013-1620, CVE-2013-1739, CVE-2013-1740, CVE-2013-1741, CVE-2013-5605, CVE-2013-5606, CVE-2013-5855, CVE-2014-1490, CVE-2014-1491, CVE-2014-1492, CVE-2014-2479, CVE-2014-2480, CVE-2014-2481, CVE-2014-2493, CVE-2014-4201, CVE-2014-4202, CVE-2014-4210, CVE-2014-4211, CVE-2014-4212, CVE-2014-4217, CVE-2014-4222, CVE-2014-4241, CVE-2014-4242, CVE-2014-4249, CVE-2014-4251, CVE-2014-4253, CVE-2014-4254, CVE-2014-4255, CVE-2014-4256, CVE-2014-4257, CVE-2014-4267, VIGILANCE-VUL-15052.
Description de la vulnérabilité
Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion.
Plusieurs vulnérabilités impactent NSS (VIGILANCE-VUL-13598, VIGILANCE-VUL-13789, VIGILANCE-VUL-14099, VIGILANCE-VUL-14456) dans Oracle GlassFish Server, Oracle iPlanet Web Proxy Server et Oracle iPlanet Web Server. [grav:3/4; CVE-2013-1739, CVE-2013-1740, CVE-2013-1741, CVE-2013-5605, CVE-2013-5606, CVE-2014-1490, CVE-2014-1491, CVE-2014-1492]
Un attaquant peut employer une vulnérabilité de Oracle WebCenter Portal, afin d'obtenir des informations. [grav:3/4; CVE-2014-4257]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2481]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2480]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4255]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4254]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2479]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4267]
Un attaquant peut employer une vulnérabilité de Oracle JDeveloper, afin d'obtenir des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2493]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir ou d'altérer des informations. [grav:3/4; CVE-2014-4256]
Un attaquant peut employer une vulnérabilité de BI Publisher, afin d'obtenir des informations. [grav:2/4; CVE-2014-4249]
Un attaquant peut employer une vulnérabilité de Oracle WebCenter Portal, afin d'altérer des informations. [grav:2/4; CVE-2014-4211]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin de mener un déni de service. [grav:2/4; CVE-2014-4201]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin de mener un déni de service. [grav:2/4; CVE-2014-4202]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations. [grav:2/4; CVE-2014-4210]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin de mener un déni de service. [grav:2/4; CVE-2014-4253]
Un attaquant peut employer une vulnérabilité de GlassFish Communications Server, afin d'obtenir des informations. [grav:2/4; CVE-2013-1620]
Un attaquant peut employer une vulnérabilité de Oracle Fusion Middleware, afin d'obtenir des informations. [grav:2/4; CVE-2014-4212]
Un attaquant peut employer une vulnérabilité de Oracle GlassFish Server, afin d'altérer des informations. [grav:2/4; CVE-2013-5855]
Un attaquant peut employer une vulnérabilité de Oracle JDeveloper, afin d'altérer des informations. [grav:2/4; CVE-2013-5855]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'altérer des informations. [grav:2/4; CVE-2014-4242]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'altérer des informations. [grav:2/4; CVE-2014-4217]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'altérer des informations. [grav:2/4; CVE-2014-4241]
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'altérer des informations. [grav:2/4; CVE-2013-5855]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2014-4251]
Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations. [grav:1/4; CVE-2014-4222]
Bulletin Vigil@nce complet... (Essai gratuit) |
Apache Struts 1 : exécution de code via ClassLoader
Synthèse de la vulnérabilité
Un attaquant peut accéder au paramètre "class", pour manipuler le ClassLoader, afin d'exécuter du code.
Produits concernés : Struts, Debian, BIG-IP Hardware, TMOS, Fedora, SiteScope, IRAD, Tivoli Storage Manager, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB, MBS, MES, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Server, Oracle OIT, Tuxedo, Oracle Virtual Directory, WebLogic, Oracle Web Tier, Puppet, RHEL, RSA Authentication Manager, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif, vCenter Server, VMware vSphere.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 26/05/2014.
Références : 1672316, 1673982, 1674339, 1675822, 2016214, c04399728, c05324755, CERTFR-2014-AVI-382, cpuapr2017, cpujan2018, cpujan2019, cpuoct2017, cpuoct2018, CVE-2014-0114, DSA-2940-1, ESA-2014-080, FEDORA-2014-9380, HPSBGN03669, HPSBMU03090, ibm10719287, ibm10719297, ibm10719301, ibm10719303, ibm10719307, MDVSA-2014:095, RHSA-2014:0474-01, RHSA-2014:0497-01, RHSA-2014:0500-01, RHSA-2014:0511-01, RHSA-2018:2669-01, SOL15282, SUSE-SU-2014:0902-1, swg22017525, VIGILANCE-VUL-14799, VMSA-2014-0008, VMSA-2014-0008.1, VMSA-2014-0008.2, VMSA-2014-0012.
Description de la vulnérabilité
Le produit Apache Struts est utilisé pour le développement d'applications Java EE.
Cependant, le paramètre "class" est mappé à getClass(), qui permet d'accéder à la classe, et de manipuler le ClassLoader.
Un attaquant peut donc accéder au paramètre "class", pour manipuler le ClassLoader, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit) |
Oracle Fusion : multiples vulnérabilités d'avril 2014
Synthèse de la vulnérabilité
Plusieurs vulnérabilités de Oracle Fusion ont été annoncées en avril 2014.
Produits concernés : Oracle Fusion Middleware, Oracle Identity Management, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 20.
Date création : 16/04/2014.
Références : cpuapr2014, CVE-2013-1620, CVE-2014-0413, CVE-2014-0414, CVE-2014-0426, CVE-2014-0450, CVE-2014-0465, CVE-2014-2399, CVE-2014-2400, CVE-2014-2404, CVE-2014-2407, CVE-2014-2411, CVE-2014-2415, CVE-2014-2416, CVE-2014-2417, CVE-2014-2418, CVE-2014-2424, CVE-2014-2425, CVE-2014-2426, CVE-2014-2452, CVE-2014-2470, VIGILANCE-VUL-14600, ZDI-14-106, ZDI-14-107, ZDI-14-108, ZDI-14-109, ZDI-14-110, ZDI-14-111.
Description de la vulnérabilité
Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion.
Un attaquant peut employer une vulnérabilité de Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2470]
Un attaquant peut employer une vulnérabilité de Oracle Identity Analytics, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2411]
Un attaquant peut employer une vulnérabilité de Oracle Containers for J2EE, afin d'obtenir des informations. [grav:2/4; CVE-2014-0414]
Un attaquant peut employer une vulnérabilité de Oracle Data Integrator DateTimeWrapper, afin de mener un déni de service. [grav:2/4; CVE-2014-2416, ZDI-14-107]
Un attaquant peut employer une vulnérabilité de Oracle Data Integrator onloadstatechange, afin de mener un déni de service. [grav:2/4; CVE-2014-2417, ZDI-14-108]
Un attaquant peut employer une vulnérabilité de Oracle Data Integrator PostcardPreviewInt, afin de mener un déni de service. [grav:2/4; CVE-2014-2415, ZDI-14-109]
Un attaquant peut employer une vulnérabilité de Oracle Data Integrator FileChooserDlg, afin de mener un déni de service. [grav:2/4; CVE-2014-2418, ZDI-14-110]
Un attaquant peut employer une vulnérabilité de Oracle Data Integrator LoaderWizard, afin de mener un déni de service. [grav:2/4; CVE-2014-2407, ZDI-14-111]
Un attaquant peut employer une vulnérabilité de Oracle WebCenter Portal, afin d'obtenir des informations. [grav:2/4; CVE-2014-0450]
Un attaquant peut employer une vulnérabilité de Oracle OpenSSO, afin de mener un déni de service. [grav:2/4; CVE-2014-2426]
Un attaquant peut employer une vulnérabilité de Oracle Containers for J2EE, afin d'altérer des informations. [grav:2/4; CVE-2014-0426]
Un attaquant peut employer une vulnérabilité de Oracle Containers for J2EE, afin d'altérer des informations. [grav:2/4; CVE-2014-0413]
Un attaquant peut employer une vulnérabilité de Oracle Endeca Server, afin d'altérer des informations. [grav:2/4; CVE-2014-2400]
Un attaquant peut employer une vulnérabilité de Oracle Endeca Server, afin d'altérer des informations. [grav:2/4; CVE-2014-2399]
Un attaquant peut employer une vulnérabilité de Oracle OpenSSO, afin d'obtenir des informations. [grav:2/4; CVE-2013-1620]
Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin d'obtenir des informations. [grav:2/4; CVE-2014-2404]
Un attaquant peut employer une vulnérabilité de Oracle Access Manager, afin de mener un déni de service. [grav:2/4; CVE-2014-2452]
Un attaquant peut employer une vulnérabilité de Oracle Event Processing FileUploadServlet, afin d'altérer des informations. [grav:2/4; CVE-2014-2424, ZDI-14-106]
Un attaquant peut employer une vulnérabilité de Oracle OpenSSO, afin d'obtenir des informations. [grav:2/4; CVE-2014-2425]
Un attaquant peut employer une vulnérabilité de Oracle OpenSSO, afin d'altérer des informations. [grav:1/4; CVE-2014-0465]
Bulletin Vigil@nce complet... (Essai gratuit) |
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.
Consulter les informations sur WebLogic :
|