L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de WebSphere Application Server Traditional

alerte de vulnérabilité informatique CVE-2016-5542 CVE-2016-5554 CVE-2016-5556

Oracle Java : vulnérabilités de octobre 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Debian, Avamar, Fedora, AIX, Domino, Notes, IRAD, QRadar SIEM, Tivoli Storage Manager, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB, WebSphere MQ, Junos Space, SnapManager, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 19/10/2016.
Références : 1993440, 1994049, 1994123, 1994478, 1997764, 1999054, 1999395, 1999474, 1999478, 1999479, 1999488, 1999532, 2000212, 2000544, 2000904, 2000988, 2000990, 2001608, 2002331, 2002479, 2002537, 2003145, 2004036, 491108, CERTFR-2016-AVI-349, CERTFR-2017-AVI-012, cpuoct2016, CVE-2016-5542, CVE-2016-5554, CVE-2016-5556, CVE-2016-5568, CVE-2016-5573, CVE-2016-5582, CVE-2016-5597, DLA-704-1, DSA-3707-1, ESA-2016-137, FEDORA-2016-73054cfeeb, JSA10770, NTAP-20161019-0001, openSUSE-SU-2016:2862-1, openSUSE-SU-2016:2900-1, openSUSE-SU-2016:2985-1, openSUSE-SU-2016:2990-1, openSUSE-SU-2016:3088-1, RHSA-2016:2079-01, RHSA-2016:2088-01, RHSA-2016:2089-01, RHSA-2016:2090-01, RHSA-2016:2136-01, RHSA-2016:2137-01, RHSA-2016:2138-01, RHSA-2016:2658-01, RHSA-2016:2659-01, RHSA-2017:0061-01, SUSE-SU-2016:2887-1, SUSE-SU-2016:3010-1, SUSE-SU-2016:3040-1, SUSE-SU-2016:3041-1, SUSE-SU-2016:3043-1, SUSE-SU-2016:3068-1, SUSE-SU-2016:3078-1, USN-3121-1, USN-3130-1, USN-3154-1, VIGILANCE-VUL-20906, ZDI-16-571.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité via 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-5556]

Un attaquant peut employer une vulnérabilité via AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-5568, ZDI-16-571]

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-5582]

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-5573]

Un attaquant peut employer une vulnérabilité via Networking, afin d'obtenir des informations. [grav:2/4; CVE-2016-5597]

Un attaquant peut employer une vulnérabilité via JMX, afin d'altérer des informations. [grav:2/4; CVE-2016-5554]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'altérer des informations. [grav:1/4; CVE-2016-5542]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-1000031

Apache Commons FileUpload : accès en lecture et écriture

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès de Apache Commons FileUpload, afin de lire ou modifier des fichiers.
Produits concernés : Struts, Prime Infrastructure, Secure ACS, Cisco CUCM, Cisco Unified CCX, Unisphere EMC, WebSphere AS Liberty, WebSphere AS Traditional, IBM WebSphere ESB, WebSphere MQ, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Tuxedo, WebLogic, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 18/10/2016.
Références : 2009844, 2011428, 2011689, 528262, 7018113, 7043863, 7048591, CERTFR-2018-AVI-531, cisco-sa-20181107-struts-commons-fileupload, cpuapr2019, cpujan2019, cpujul2019, CVE-2016-1000031, DSA-2018-210, openSUSE-SU-2019:1399-1, SUSE-SU-2019:1214-1, SUSE-SU-2019:14044-1, TRA-2016-12, VIGILANCE-VUL-20892, ZDI-16-570.

Description de la vulnérabilité

Plusieurs produits utilisent Apache Commons FileUpload.

Cependant, les données désérialisées par la classe DiskFileItem ne sont pas vérifiées.

Un attaquant peut donc contourner les restrictions d'accès de Apache Commons FileUpload, afin de lire ou modifier des fichiers.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-5983

IBM WebSphere Application Server : exécution de code via des objets empaquetés

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via serial de IBM WebSphere Application Server, afin d'exécuter du code.
Produits concernés : Security Directory Server, Tivoli Directory Server, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 23/09/2016.
Références : 1990060, 1991866, 1991867, 1991870, 1991871, 1991875, 1991876, 1991878, 1991880, 1991882, 1991884, 1991885, 1991886, 1991887, 1991889, 1991892, 1991894, 1991896, 1991898, 1991902, 1991903, 1991951, 1991955, 1991959, 1991960, 1991961, 1995390, 1999671, 2000095, 2000544, 2002049, 2002050, 7014463, 7048591, CVE-2016-5983, VIGILANCE-VUL-20686.

Description de la vulnérabilité

Le produit IBM WebSphere Application Server s'exécute sur une machine virtuelle Java.

Il peut charger des objets empaquetés depuis une source extérieure. Cependant, il ne restreint probablement pas les classes qu'il charge lors du décodage de l'objet.

Un attaquant peut donc envoyer des objets empaquetés à IBM WebSphere Application Server, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-5986

WebSphere AS : obtention d'information via Server Identification

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Server Identification de WebSphere AS, afin d'obtenir des informations sensibles.
Produits concernés : Security Directory Server, Tivoli Directory Server, Tivoli Storage Manager, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 16/09/2016.
Références : 1990056, 1990724, 1991900, 1991987, 1995793, 2002049, 2002050, 7014463, CVE-2016-5986, VIGILANCE-VUL-20625.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Server Identification de WebSphere AS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-0385

WebSphere AS : obtention d'information via HttpSessionIdReuse

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via HttpSessionIdReuse de WebSphere AS, afin d'obtenir des informations sensibles.
Produits concernés : WebSphere AS Traditional, IBM WebSphere ESB.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 17/08/2016.
Références : 1982588, 1989628, 7014463, CVE-2016-0385, VIGILANCE-VUL-20407.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via HttpSessionIdReuse de WebSphere AS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-0377

WebSphere AS : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de WebSphere AS, afin de forcer la victime à effectuer des opérations.
Produits concernés : Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, IBM WebSphere ESB.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 17/08/2016.
Références : 1980645, 1989353, 1989628, 1995384, 7014463, CVE-2016-0377, VIGILANCE-VUL-20406.

Description de la vulnérabilité

Le produit WebSphere AS dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WebSphere AS, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-2960

WebSphere AS : déni de service via SIP

Synthèse de la vulnérabilité

Un attaquant peut envoyer un paquet SIP malveillant vers IBM WebSphere AS, afin de mener un déni de service.
Produits concernés : Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client intranet.
Date création : 02/08/2016.
Références : 1984796, 1989351, 1989628, 7014463, CVE-2016-2960, VIGILANCE-VUL-20285.

Description de la vulnérabilité

Le produit IBM WebSphere AS dispose d'un service pour traiter les paquets SIP reçus.

Cependant, lorsqu'un paquet malveillant est reçu, une erreur fatale se produit.

Un attaquant peut donc envoyer un paquet SIP malveillant vers IBM WebSphere AS, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2016-3458 CVE-2016-3485 CVE-2016-3498

Oracle Java : vulnérabilités de juillet 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, AIX, Domino, Notes, IRAD, SPSS Statistics, Tivoli Storage Manager, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB, WebSphere MQ, JAXP, ePO, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, JavaFX, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 13.
Date création : 20/07/2016.
Références : 1988339, 1988894, 1988978, 1989049, 1989337, 1990031, 1990448, 1991383, 1991909, 1991910, 1991911, 1991913, 1991997, 1995792, 1995799, 2001630, 2007242, 486953, CERTFR-2016-AVI-243, cpujul2016, CVE-2016-3458, CVE-2016-3485, CVE-2016-3498, CVE-2016-3500, CVE-2016-3503, CVE-2016-3508, CVE-2016-3511, CVE-2016-3550, CVE-2016-3552, CVE-2016-3587, CVE-2016-3598, CVE-2016-3606, CVE-2016-3610, DLA-579-1, DSA-3641-1, ESA-2016-099, FEDORA-2016-588e386aaa, FEDORA-2016-c07d18b2a5, FEDORA-2016-c60d35c46c, openSUSE-SU-2016:2050-1, openSUSE-SU-2016:2051-1, openSUSE-SU-2016:2052-1, openSUSE-SU-2016:2058-1, RHSA-2016:1458-01, RHSA-2016:1475-01, RHSA-2016:1476-01, RHSA-2016:1477-01, RHSA-2016:1504-01, RHSA-2016:1587-01, RHSA-2016:1588-01, RHSA-2016:1589-01, RHSA-2016:1776-01, SB10166, SOL05016441, SOL25075696, SUSE-SU-2016:1997-1, SUSE-SU-2016:2012-1, SUSE-SU-2016:2261-1, SUSE-SU-2016:2286-1, SUSE-SU-2016:2347-1, SUSE-SU-2016:2348-1, SUSE-SU-2016:2726-1, USN-3043-1, USN-3062-1, USN-3077-1, VIGILANCE-VUL-20169, ZDI-16-445, ZDI-16-446, ZDI-16-447, ZDI-16-448.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Communications.

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3587, ZDI-16-448]

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3606, ZDI-16-447]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3598, ZDI-16-446]

Un attaquant peut employer une vulnérabilité via Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3610, ZDI-16-445]

Un attaquant peut employer une vulnérabilité via Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3552]

Un attaquant peut employer une vulnérabilité via Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3511]

Un attaquant peut employer une vulnérabilité via Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3503]

Un attaquant peut employer une vulnérabilité via JavaFX, afin de mener un déni de service. [grav:2/4; CVE-2016-3498]

Un attaquant peut employer une vulnérabilité via JAXP, afin de mener un déni de service. [grav:2/4; CVE-2016-3500]

Un attaquant peut employer une vulnérabilité via JAXP, afin de mener un déni de service. [grav:2/4; CVE-2016-3508]

Un attaquant peut employer une vulnérabilité via CORBA, afin d'altérer des informations. [grav:2/4; CVE-2016-3458]

Un attaquant peut employer une vulnérabilité via Hotspot, afin d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2016-3550]

Un attaquant peut employer une vulnérabilité via Networking, afin d'altérer des informations. [grav:1/4; CVE-2016-3485]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2015-3237 CVE-2015-7182 CVE-2016-1181

Oracle Fusion Middleware : vulnérabilités de juillet 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Fusion Middleware.
Produits concernés : WebSphere AS Traditional, Oracle Communications, Oracle Directory Server, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Portal, Solaris, Oracle TopLink, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 22.
Date création : 20/07/2016.
Références : 7014463, cpuapr2019, cpujul2016, cpuoct2018, CVE-2015-3237, CVE-2015-7182, CVE-2016-1181, CVE-2016-1548, CVE-2016-2107, CVE-2016-3432, CVE-2016-3433, CVE-2016-3445, CVE-2016-3446, CVE-2016-3474, CVE-2016-3482, CVE-2016-3487, CVE-2016-3499, CVE-2016-3502, CVE-2016-3504, CVE-2016-3510, CVE-2016-3544, CVE-2016-3564, CVE-2016-3586, CVE-2016-3607, CVE-2016-3608, CVE-2016-5019, CVE-2016-5477, VIGILANCE-VUL-20164, ZDI-16-441, ZDI-16-442, ZDI-16-443, ZDI-16-444.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité via Oracle Directory Server Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-7182]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3607, ZDI-16-442]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3510, ZDI-16-443]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3586, ZDI-16-441]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3499, ZDI-16-444]

Un attaquant peut employer une vulnérabilité via Oracle JDeveloper, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3504, CVE-2016-5019]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3446]

Un attaquant peut employer une vulnérabilité via Oracle Portal, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-1181]

Un attaquant peut employer une vulnérabilité via Oracle TopLink, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3564]

Un attaquant peut employer une vulnérabilité via Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3487]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir ou d'altérer des informations. [grav:3/4; CVE-2016-3544]

Un attaquant peut employer une vulnérabilité via Oracle Exalogic Infrastructure, afin d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-1548]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-3237]

Un attaquant peut employer une vulnérabilité via Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2016-3502]

Un attaquant peut employer une vulnérabilité via Oracle Access Manager, afin d'obtenir des informations. [grav:2/4; CVE-2016-2107]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations. [grav:2/4; CVE-2016-3608]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations. [grav:2/4; CVE-2016-5477]

Un attaquant peut employer une vulnérabilité via BI Publisher (formerly XML Publisher), afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-3432]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-3433]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin de mener un déni de service. [grav:2/4; CVE-2016-3445]

Un attaquant peut employer une vulnérabilité via BI Publisher (formerly XML Publisher), afin d'obtenir des informations. [grav:1/4; CVE-2016-3474]

Un attaquant peut employer une vulnérabilité via Oracle HTTP Server, afin d'obtenir des informations. [grav:1/4; CVE-2016-3482]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2016-2923

IBM WebSphere Application Server : obtention d'information via JAX-RS API

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via JAX-RS API de IBM WebSphere Application Server, afin d'obtenir des informations sensibles.
Produits concernés : WebSphere AS Traditional.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 01/07/2016.
Références : 1983700, CVE-2016-2923, VIGILANCE-VUL-20010.

Description de la vulnérabilité

Le produit IBM WebSphere Application Server dispose d'un service web.

Cependant, un attaquant peut profiter d'un défaut d'activation de HTTPOnly pour contourner les restrictions d'accès aux cookies.

Un attaquant peut donc utiliser une vulnérabilité via JAX-RS API de IBM WebSphere Application Server, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur WebSphere Application Server Traditional :