L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de WebSphere Application Server Traditional

vulnérabilité informatique CVE-2016-5986

WebSphere AS : obtention d'information via Server Identification

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Server Identification de WebSphere AS, afin d'obtenir des informations sensibles.
Produits concernés : Security Directory Server, Tivoli Directory Server, Tivoli Storage Manager, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 16/09/2016.
Références : 1990056, 1990724, 1991900, 1991987, 1995793, 2002049, 2002050, 7014463, CVE-2016-5986, VIGILANCE-VUL-20625.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Server Identification de WebSphere AS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-0385

WebSphere AS : obtention d'information via HttpSessionIdReuse

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via HttpSessionIdReuse de WebSphere AS, afin d'obtenir des informations sensibles.
Produits concernés : WebSphere AS Traditional, IBM WebSphere ESB.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 17/08/2016.
Références : 1982588, 1989628, 7014463, CVE-2016-0385, VIGILANCE-VUL-20407.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via HttpSessionIdReuse de WebSphere AS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-0377

WebSphere AS : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de WebSphere AS, afin de forcer la victime à effectuer des opérations.
Produits concernés : Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, IBM WebSphere ESB.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 17/08/2016.
Références : 1980645, 1989353, 1989628, 1995384, 7014463, CVE-2016-0377, VIGILANCE-VUL-20406.

Description de la vulnérabilité

Le produit WebSphere AS dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WebSphere AS, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-2960

WebSphere AS : déni de service via SIP

Synthèse de la vulnérabilité

Un attaquant peut envoyer un paquet SIP malveillant vers IBM WebSphere AS, afin de mener un déni de service.
Produits concernés : Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client intranet.
Date création : 02/08/2016.
Références : 1984796, 1989351, 1989628, 7014463, CVE-2016-2960, VIGILANCE-VUL-20285.

Description de la vulnérabilité

Le produit IBM WebSphere AS dispose d'un service pour traiter les paquets SIP reçus.

Cependant, lorsqu'un paquet malveillant est reçu, une erreur fatale se produit.

Un attaquant peut donc envoyer un paquet SIP malveillant vers IBM WebSphere AS, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2016-3458 CVE-2016-3485 CVE-2016-3498

Oracle Java : vulnérabilités de juillet 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, AIX, Domino, Notes, IRAD, SPSS Statistics, Tivoli Storage Manager, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB, WebSphere MQ, JAXP, ePO, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 13.
Date création : 20/07/2016.
Références : 1988339, 1988894, 1988978, 1989049, 1989337, 1990031, 1990448, 1991383, 1991909, 1991910, 1991911, 1991913, 1991997, 1995792, 1995799, 2001630, 2007242, 486953, CERTFR-2016-AVI-243, cpujul2016, CVE-2016-3458, CVE-2016-3485, CVE-2016-3498, CVE-2016-3500, CVE-2016-3503, CVE-2016-3508, CVE-2016-3511, CVE-2016-3550, CVE-2016-3552, CVE-2016-3587, CVE-2016-3598, CVE-2016-3606, CVE-2016-3610, DLA-579-1, DSA-3641-1, ESA-2016-099, FEDORA-2016-588e386aaa, FEDORA-2016-c07d18b2a5, FEDORA-2016-c60d35c46c, openSUSE-SU-2016:2050-1, openSUSE-SU-2016:2051-1, openSUSE-SU-2016:2052-1, openSUSE-SU-2016:2058-1, RHSA-2016:1458-01, RHSA-2016:1475-01, RHSA-2016:1476-01, RHSA-2016:1477-01, RHSA-2016:1504-01, RHSA-2016:1587-01, RHSA-2016:1588-01, RHSA-2016:1589-01, RHSA-2016:1776-01, SB10166, SOL05016441, SOL25075696, SUSE-SU-2016:1997-1, SUSE-SU-2016:2012-1, SUSE-SU-2016:2261-1, SUSE-SU-2016:2286-1, SUSE-SU-2016:2347-1, SUSE-SU-2016:2348-1, SUSE-SU-2016:2726-1, USN-3043-1, USN-3062-1, USN-3077-1, VIGILANCE-VUL-20169, ZDI-16-445, ZDI-16-446, ZDI-16-447, ZDI-16-448.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Communications.

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3587, ZDI-16-448]

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3606, ZDI-16-447]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3598, ZDI-16-446]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3610, ZDI-16-445]

Un attaquant peut employer une vulnérabilité via Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3552]

Un attaquant peut employer une vulnérabilité via Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3511]

Un attaquant peut employer une vulnérabilité via Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3503]

Un attaquant peut employer une vulnérabilité via JavaFX, afin de mener un déni de service. [grav:2/4; CVE-2016-3498]

Un attaquant peut employer une vulnérabilité via JAXP, afin de mener un déni de service. [grav:2/4; CVE-2016-3500]

Un attaquant peut employer une vulnérabilité via JAXP, afin de mener un déni de service. [grav:2/4; CVE-2016-3508]

Un attaquant peut employer une vulnérabilité via CORBA, afin d'altérer des informations. [grav:2/4; CVE-2016-3458]

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2016-3550]

Un attaquant peut employer une vulnérabilité via Networking, afin d'altérer des informations. [grav:1/4; CVE-2016-3485]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2015-3237 CVE-2015-7182 CVE-2016-1181

Oracle Fusion Middleware : vulnérabilités de juillet 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Fusion Middleware.
Produits concernés : WebSphere AS Traditional, Oracle Communications, Oracle Directory Server, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Portal, Solaris, Oracle TopLink, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 22.
Date création : 20/07/2016.
Références : 7014463, cpuapr2019, cpujul2016, cpuoct2018, CVE-2015-3237, CVE-2015-7182, CVE-2016-1181, CVE-2016-1548, CVE-2016-2107, CVE-2016-3432, CVE-2016-3433, CVE-2016-3445, CVE-2016-3446, CVE-2016-3474, CVE-2016-3482, CVE-2016-3487, CVE-2016-3499, CVE-2016-3502, CVE-2016-3504, CVE-2016-3510, CVE-2016-3544, CVE-2016-3564, CVE-2016-3586, CVE-2016-3607, CVE-2016-3608, CVE-2016-5019, CVE-2016-5477, VIGILANCE-VUL-20164, ZDI-16-441, ZDI-16-442, ZDI-16-443, ZDI-16-444.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité via Oracle Directory Server Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-7182]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3607, ZDI-16-442]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3510, ZDI-16-443]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3586, ZDI-16-441]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3499, ZDI-16-444]

Un attaquant peut employer une vulnérabilité via Oracle JDeveloper, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3504, CVE-2016-5019]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3446]

Un attaquant peut employer une vulnérabilité via Oracle Portal, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-1181]

Un attaquant peut employer une vulnérabilité via Oracle TopLink, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3564]

Un attaquant peut employer une vulnérabilité via Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3487]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir ou d'altérer des informations. [grav:3/4; CVE-2016-3544]

Un attaquant peut employer une vulnérabilité via Oracle Exalogic Infrastructure, afin d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-1548]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-3237]

Un attaquant peut employer une vulnérabilité via Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2016-3502]

Un attaquant peut employer une vulnérabilité via Oracle Access Manager, afin d'obtenir des informations. [grav:2/4; CVE-2016-2107]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations. [grav:2/4; CVE-2016-3608]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations. [grav:2/4; CVE-2016-5477]

Un attaquant peut employer une vulnérabilité via BI Publisher (formerly XML Publisher), afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-3432]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-3433]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin de mener un déni de service. [grav:2/4; CVE-2016-3445]

Un attaquant peut employer une vulnérabilité via BI Publisher (formerly XML Publisher), afin d'obtenir des informations. [grav:1/4; CVE-2016-3474]

Un attaquant peut employer une vulnérabilité via Oracle HTTP Server, afin d'obtenir des informations. [grav:1/4; CVE-2016-3482]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2016-2923

IBM WebSphere Application Server : obtention d'information via JAX-RS API

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via JAX-RS API de IBM WebSphere Application Server, afin d'obtenir des informations sensibles.
Produits concernés : WebSphere AS Traditional.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 01/07/2016.
Références : 1983700, CVE-2016-2923, VIGILANCE-VUL-20010.

Description de la vulnérabilité

Le produit IBM WebSphere Application Server dispose d'un service web.

Cependant, un attaquant peut profiter d'un défaut d'activation de HTTPOnly pour contourner les restrictions d'accès aux cookies.

Un attaquant peut donc utiliser une vulnérabilité via JAX-RS API de IBM WebSphere Application Server, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-2945

WebSphere Application Server : élévation de privilèges via API Discovery

Synthèse de la vulnérabilité

Un attaquant peut créer un document Swagger avec des références externes via l'API "Discovery" de WebSphere Application Server, afin d'élever ses privilèges.
Produits concernés : WebSphere AS Traditional.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : document.
Date création : 30/06/2016.
Références : 1984502, CVE-2016-2945, VIGILANCE-VUL-20002.

Description de la vulnérabilité

Le produit WebSphere Application Server dispose d'une API pour le développement.

Cependant, la fonction découverte de l'API fournit un niveau de sécurité plus faible que prévu lors de l'utilisation de références externes dans le document Swagger.

Un attaquant peut donc créer un document Swagger avec des références externes via l'API "Discovery" de WebSphere Application Server, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2016-0359

WebSphere Application Server : HTTP Response Splitting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un HTTP Response Splitting, afin d'altérer les réponses HTTP de WebSphere AS, ce qui lui permet par exemple d'obtenir des informations.
Produits concernés : WebSphere AS Traditional.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client internet.
Date création : 29/06/2016.
Références : 1982526, 7014463, CVE-2016-0359, VIGILANCE-VUL-19994.

Description de la vulnérabilité

Le produit WebSphere Application Server dispose d'un service web.

Cependant, un attaquant peut utiliser une requête malveillante, pour scinder la réponse HTTP du service web.

Un attaquant peut donc provoquer un HTTP Response Splitting, afin d'altérer les réponses HTTP de WebSphere AS, ce qui lui permet par exemple d'obtenir des informations.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2016-0389

IBM WebSphere Application Server (Liberty Profile) : obtention d'information via "Admin Center"

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via "Admin Center" de IBM WebSphere Application Server, afin d'obtenir des informations sensibles.
Produits concernés : Security Directory Server, WebSphere AS Traditional.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 28/06/2016.
Références : 1982012, 1995259, CVE-2016-0389, VIGILANCE-VUL-19989.

Description de la vulnérabilité

Le produit IBM WebSphere Application Server Liberty Profile dispose d'une interface web d'administration.

Cependant, un attaquant peut contourner les restrictions d'accès aux données.

Un attaquant peut donc utiliser une vulnérabilité via "Admin Center" de IBM WebSphere Application Server, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur WebSphere Application Server Traditional :