L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de iPlanet Directory Server

annonce cybersécurité CVE-2017-10026 CVE-2017-10033 CVE-2017-10034

Oracle Fusion Middleware : vulnérabilités de octobre 2017

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion Middleware.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 23.
Date création : 18/10/2017.
Date révision : 29/01/2018.
Références : cpuoct2017, CVE-2017-10026, CVE-2017-10033, CVE-2017-10034, CVE-2017-10037, CVE-2017-10051, CVE-2017-10055, CVE-2017-10060, CVE-2017-10152, CVE-2017-10154, CVE-2017-10163, CVE-2017-10166, CVE-2017-10259, CVE-2017-10270, CVE-2017-10271, CVE-2017-10334, CVE-2017-10336, CVE-2017-10352, CVE-2017-10360, CVE-2017-10369, CVE-2017-10385, CVE-2017-10391, CVE-2017-10393, CVE-2017-10400, VIGILANCE-VUL-24164.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion Middleware.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de faille informatique CVE-2017-10068 CVE-2017-10262 CVE-2017-10273

Oracle Fusion Middleware : vulnérabilités de janvier 2018

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 12.
Date création : 17/01/2018.
Références : cpujan2018, CVE-2017-10068, CVE-2017-10262, CVE-2017-10273, CVE-2018-2561, CVE-2018-2564, CVE-2018-2584, CVE-2018-2596, CVE-2018-2601, CVE-2018-2625, CVE-2018-2711, CVE-2018-2713, CVE-2018-2715, ESA-2018-003, VIGILANCE-VUL-25081.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les produits Oracle.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-12617

Apache Tomcat : exécution de code via Read-write Default/WebDAV Servlet

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Read-write Default/WebDAV Servlet de Apache Tomcat, afin d'exécuter du code.
Gravité : 3/4.
Date création : 20/09/2017.
Références : 504539, 61542, CERTFR-2017-AVI-332, cpuapr2018, cpuapr2019, cpujan2018, cpujul2018, CVE-2017-12617, DLA-1166-1, DLA-1166-2, ESA-2017-097, FEDORA-2017-ef7c118dbc, FEDORA-2017-f499ee7b12, openSUSE-SU-2017:3069-1, RHSA-2017:3080-01, RHSA-2017:3081-01, RHSA-2017:3113-01, RHSA-2017:3114-01, RHSA-2018:0465-01, RHSA-2018:0466-01, SB10218, SUSE-SU-2017:3039-1, SUSE-SU-2017:3059-1, SUSE-SU-2017:3279-1, USN-3665-1, VIGILANCE-VUL-23883.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Read-write Default/WebDAV Servlet de Apache Tomcat, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

menace informatique CVE-2017-9798

Apache httpd : obtention d'information via htaccess Limit Optionsbleed

Synthèse de la vulnérabilité

Lorsque Apache httpd héberge un fichier .htaccess contenant l'option Limit, une requête OPTIONS permet d'obtenir un extrait de la mémoire du service.
Gravité : 2/4.
Date création : 19/09/2017.
Références : 2009782, bulletinjan2018, CERTFR-2017-AVI-336, cpujan2018, cpujan2019, CVE-2017-9798, DLA-1102-1, DSA-2019-131, DSA-3980-1, FEDORA-2017-a52f252521, HT208331, HT208394, JSA10838, openSUSE-SU-2017:2549-1, openSUSE-SU-2018:1057-1, RHSA-2017:2882-01, RHSA-2017:2972-01, RHSA-2017:3018-01, RHSA-2017:3113-01, RHSA-2017:3114-01, RHSA-2017:3239-01, RHSA-2017:3240-01, SSA:2017-261-01, Synology-SA-17:56, USN-3425-1, USN-3425-2, VIGILANCE-VUL-23863.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Lorsque Apache httpd héberge un fichier .htaccess contenant l'option Limit, une requête OPTIONS permet d'obtenir un extrait de la mémoire du service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte cyber-sécurité CVE-2017-5662

Apache Batik : injection d'entité XML externe

Synthèse de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes à Apache Batik, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Gravité : 2/4.
Date création : 02/05/2017.
Références : cpuapr2018, cpujul2018, cpuoct2017, CVE-2017-5662, DLA-926-1, DSA-4215-1, FEDORA-2017-43b46cd2da, FEDORA-2017-aff3dd3101, RHSA-2017:2546-01, RHSA-2017:2547-01, RHSA-2018:0319-01, USN-3280-1, VIGILANCE-VUL-22591.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Les données XML peuvent contenir des entités externes (DTD) :
  <!ENTITY nom SYSTEM "fichier">
  <!ENTITY nom SYSTEM "http://serveur/fichier">
Un programme lisant ces données XML peut remplacer ces entités par les données provenant du fichier indiqué. Lorsque le programme utilise des données XML de provenance non sûre, ce comportement permet de :
 - lire le contenu de fichiers situés sur le serveur
 - scanner des sites web privés
 - mener un déni de service en ouvrant un fichier bloquant
Cette fonctionnalité doit donc être désactivée pour traiter des données XML de provenance non sûre.

Cependant, le parseur de Apache Batik autorise les entités externes.

Un attaquant peut donc transmettre des données XML malveillantes à Apache Batik, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte cybersécurité CVE-2017-5461 CVE-2017-5462

Mozilla NSS : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Mozilla NSS.
Gravité : 4/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 20/04/2017.
Références : bulletinapr2017, bulletinjan2019, CERTFR-2017-AVI-126, CERTFR-2017-AVI-134, cpujan2018, cpuoct2017, CVE-2017-5461, CVE-2017-5462, DLA-906-1, DLA-946-1, DSA-3831-1, DSA-3872-1, FEDORA-2017-31c64a0bbf, FEDORA-2017-82265ed89e, FEDORA-2017-87e23bcc34, FEDORA-2017-9042085060, MFSA-2017-10, MFSA-2017-11, MFSA-2017-12, MFSA-2017-13, openSUSE-SU-2017:1099-1, openSUSE-SU-2017:1196-1, openSUSE-SU-2017:1268-1, RHSA-2017:1100-01, RHSA-2017:1101-01, RHSA-2017:1102-01, RHSA-2017:1103-01, SA150, SSA:2017-112-01, SSA:2017-114-01, SUSE-SU-2017:1175-1, SUSE-SU-2017:1248-1, SUSE-SU-2017:1669-1, SUSE-SU-2017:2235-1, USN-3260-1, USN-3260-2, USN-3270-1, USN-3278-1, USN-3372-1, VIGILANCE-VUL-22505.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Mozilla NSS.

Un attaquant peut provoquer un buffer overflow via Base64 Decoding, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2017-5461]

Un attaquant peut contourner les mesures de sécurité via DRBG Number Generation, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-5462]
Bulletin Vigil@nce complet... (Essai gratuit)

faille cybersécurité CVE-2017-5645

Apache log4j : exécution de code via Socket Server Deserialization

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Socket Server Deserialization de Apache log4j, afin d'exécuter du code.
Gravité : 3/4.
Date création : 18/04/2017.
Références : cpuapr2018, cpuapr2019, cpujan2018, cpujan2019, cpujul2018, cpujul2019, cpuoct2018, CVE-2017-5645, ESA-2017-05, FEDORA-2017-2ccfbd650a, FEDORA-2017-511ebfa8a3, FEDORA-2017-7e0ff7f73a, FEDORA-2017-8348115acd, FEDORA-2017-b8358cda24, JSA10838, RHSA-2017:1801-01, RHSA-2017:1802-01, RHSA-2017:2423-01, RHSA-2017:2633-01, RHSA-2017:2635-01, RHSA-2017:2636-01, RHSA-2017:2637-01, RHSA-2017:2638-01, RHSA-2017:2808-01, RHSA-2017:2809-01, RHSA-2017:2810-01, RHSA-2017:2811-01, RHSA-2017:2888-01, RHSA-2017:2889-01, RHSA-2017:3244-01, RHSA-2017:3399-01, RHSA-2017:3400-01, VIGILANCE-VUL-22460.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Socket Server Deserialization de Apache log4j, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de menace CVE-2017-3733

OpenSSL : déni de service via l'option "Encrypt-Then-Mac"

Synthèse de la vulnérabilité

Un attaquant peut inverser l'état de l'option "Encrypt-Then-Mac" dans une renégociation TLS avec un client ou un serveur basé sur OpenSSL, afin de mener un déni de service.
Gravité : 2/4.
Date création : 16/02/2017.
Références : 2003480, 2003620, 2003673, 2004940, CERTFR-2017-AVI-035, cisco-sa-20170130-openssl, cpuapr2019, cpujan2018, cpuoct2017, CVE-2017-3733, HPESBGN03728, VIGILANCE-VUL-21871.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

OpenSSL gère la possibilité de renégocier les options d'une connexion TLS en cours de session.

Cependant, pour certaines combinaisons d'algorithmes, lorsque l'option "Encrypt-Then-Mac" est activée ou désactivé en cours de session, une erreur fatale au processus se produit.

Un attaquant peut donc inverser l'état de l'option "Encrypt-Then-Mac" dans une renégociation TLS avec un client ou un serveur basé sur OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-7055 CVE-2017-3730 CVE-2017-3731

OpenSSL : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Gravité : 2/4.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 26/01/2017.
Références : 1117414, 2000544, 2000988, 2000990, 2002331, 2004036, 2004940, 2009389, 2010154, 2011567, 2012827, 2014202, 2014651, 2014669, 2015080, BSA-2016-204, BSA-2016-207, BSA-2016-211, BSA-2016-212, BSA-2016-213, BSA-2016-216, BSA-2016-234, bulletinapr2017, bulletinjan2018, bulletinoct2017, CERTFR-2017-AVI-035, CERTFR-2018-AVI-343, cisco-sa-20170130-openssl, cpuapr2017, cpuapr2019, cpujan2018, cpujul2017, cpujul2018, cpuoct2017, CVE-2016-7055, CVE-2017-3730, CVE-2017-3731, CVE-2017-3732, DLA-814-1, DSA-3773-1, FEDORA-2017-3451dbec48, FEDORA-2017-e853b4144f, FG-IR-17-019, FreeBSD-SA-17:02.openssl, ibm10732391, ibm10733905, ibm10738249, ibm10738401, JSA10775, K37526132, K43570545, K44512851, K-510805, NTAP-20170127-0001, NTAP-20170310-0002, NTAP-20180201-0001, openSUSE-SU-2017:0481-1, openSUSE-SU-2017:0487-1, openSUSE-SU-2017:0527-1, openSUSE-SU-2017:0941-1, openSUSE-SU-2017:2011-1, openSUSE-SU-2017:2868-1, openSUSE-SU-2018:0458-1, PAN-70674, PAN-73914, PAN-SA-2017-0012, PAN-SA-2017-0014, PAN-SA-2017-0016, RHSA-2017:0286-01, RHSA-2018:2568-01, RHSA-2018:2575-01, SA141, SA40423, SB10188, SSA:2017-041-02, SUSE-SU-2018:0112-1, SUSE-SU-2018:2839-1, SUSE-SU-2018:3082-1, TNS-2017-03, USN-3181-1, VIGILANCE-VUL-21692.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Un attaquant peut forcer la lecture à une adresse invalide via Truncated Packet, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2017-3731]

Un attaquant peut forcer le déréférencement d'un pointeur NULL via DHE/ECDHE Parameters, afin de mener un déni de service. [grav:2/4; CVE-2017-3730]

Un attaquant peut utiliser une erreur propagation de la retenue dans BN_mod_exp(), afin de calculer la clé privée. [grav:1/4; CVE-2017-3732]

Une erreur se produit dans la Broadwell-specific Montgomery Multiplication Procedure, mais sans impact apparent. [grav:1/4; CVE-2016-7055]
Bulletin Vigil@nce complet... (Essai gratuit)

faille informatique CVE-2016-6814

Apache Groovy : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de Apache Groovy, afin d'exécuter du code.
Gravité : 2/4.
Date création : 23/01/2017.
Références : cpuapr2018, cpujan2018, cpujan2019, cpujul2019, cpuoct2017, CVE-2016-6814, DLA-794-1, FEDORA-2017-1ce2a05ff1, FEDORA-2017-33c8085c5d, FEDORA-2017-661dddc462, FEDORA-2017-cc0e0daf0f, RHSA-2017:0272-01, RHSA-2017:0868-01, RHSA-2017:2486-01, RHSA-2017:2596-01, VIGILANCE-VUL-21640.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de Apache Groovy, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur iPlanet Directory Server :