République Tunisienne

Ministère de l'Agriculture, des Ressources Hydrauliques et de la Pêche
Institution de la Recherche et de l'Enseignement Supérieur Agricoles

iresa

jeudi, 25 avril 2019 11:09

Failles critiques dans les produits Cisco, VMware, Apache Tomcat, Oracle et OpenSSH

Évaluer cet élément
(0 Votes)

Bulletin de Sécurité N° 2019-033

Sommaire:
Critique - Cisco Expressway Series et Cisco TelePresence Video Communication Server- (tunCERT/Vuln.2019-131) -
Critique - Cisco ASR 9000 Series Aggregation Services Routers- (tunCERT/Vuln.2019-132) -
Critique - Cisco Wireless LAN Controllers- (tunCERT/Vuln.2019-130) -
Critique - Cisco Aironet Series Access Points- (tunCERT/Vuln.2019-133) -
Critique - Produits VMware- (tunCERT/Vuln.2019-121) -
Critique - Apache Tomcat- (tunCERT/Vuln.2019-122) -
Critique - Oracle Database Server- (tunCERT/Vuln.2019-123) -
Critique - Oracle E-Business Suite- (tunCERT/Vuln.2019-128) -
Critique - Produits Oracle MySQL- (tunCERT/Vuln.2019-127) -
Critique - Produits Oracle Java SE- (tunCERT/Vuln.2019-124) -
Critique - Oracle Fusion Middleware- (tunCERT/Vuln.2019-129) -
Critique - Oracle VM VirtualBox- (tunCERT/Vuln.2019-126) -
Moyennement critique - Produits Oracle et systèmes Sun- (tunCERT/Vuln.2019-125) -
Critique - OpenSSH- (tunCERT/Vuln.2019-135) -

Cisco Expressway Series et Cisco TelePresence Video Communication Server | Critique
Référence

tunCERT/Vuln.2019-131
Versions affectées

Cisco Expressway Series et Cisco TelePresence Video Communication Server antérieures à X12.5.1
Plates-formes affectées

Cisco
Impact

Déni de service
Brève description
Une vulnérabilité a été signalés dans les produits Cisco Expressway Series et Cisco TelePresence Video Communication Server à cause de l’impropre traitement des données XML en entrée. L’exploitation de cette faille pourrait permettre à un attaquant distant, en envoyant des paquets SIP spécifiquement conçus, de causer un déni e service.

Cisco ASR 9000 Series Aggregation Services Routers | Critique
Référence

tunCERT/Vuln.2019-132
Versions affectées

Cisco IOS XR 64-bit Software pour Cisco ASR 9000 Series Aggregation Services Routers
Plates-formes affectées

Cisco
Impact

Obtention d'un accès
Déni de service
Prise de contrôle à distance
Brève description
Une vulnérabilité a été signalée dans sysadmin virtual machine (VM) dans les produits Cisco Cisco ASR 9000 Series Aggregation Services Routers. L’exploitation de cette faille pourrait permettre à un attaquant distant de causer un déni de service et d'obtenir un accès sans authentification avec des privilèges élevés à un équipement vulnérable.

Cisco Wireless LAN Controllers | Critique
Référence

tunCERT/Vuln.2019-130
Versions affectées

Cisco Wireless LAN Controllers
Plates-formes affectées

Cisco
Impact

Obtention de privilèges
Perte d'intégrité
Exécution de code arbitraire
Perte de confidentialité
Déni de service
Prise de contrôle
Brève description
Des vulnérabilités ont été signalées dans les produits Cisco Wireless LAN Controllers (WLCs) à cause de l'insuffisance de stérilisation de données en entrée via les sessions HTTP/HTTPS et SSH. L’exploitation de ces failles pourrait permettre à un attaquant distant de réaliser des attaques de type CSRF, de voler la session d'un utilisateur légitime, de causer un déni de service ainsi que modifier la configuration d'un équipement défaillant .

Cisco Aironet Series Access Points | Critique
Référence

tunCERT/Vuln.2019-133
Versions affectées

Aironet 1540 Series APs
Aironet 1800 Series APs
Aironet 2800 Series APs
Aironet 3800 Series Aps
Plates-formes affectées

Cisco
Impact

Exécution de code arbitraire
Obtention d'un accès
Prise de contrôle à distance
Brève description
Une vulnérabilité a été signalée dans les produits Cisco Aironet Series Access Points à cause de l’impropre validation des données en entrée. L’exploitation de cette faille pourrait permettre à un utilisateur malveillant d’obtenir un accès « root » à un système vulnérable.

Produits VMware | Critique
Référence

tunCERT/Vuln.2019-121
Versions affectées

ESXi 6.7 antérieures à ESXi670-201904101-SG
ESXi 6.5 antérieures à ESXi650-201903001
Workstation 15.x antérieures à 15.0.3
Workstation 14.x antérieures à 14.1.6
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été signalées dans les fonctionnalités vertex shader, shader translator et 3D-acceleration des produits VMware: Workstation, Fusion et ESXi. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service.

Apache Tomcat | Critique
Référence

tunCERT/Vuln.2019-122
Versions affectées

Apache Tomcat 9.0.x antérieures à 9.0.19
Apache Tomcat 8.x antérieures à 8.5.40
Apache Tomcat 7.0.x antérieures à 7.0.94
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Exécution de code arbitraire
Brève description
Une vulnérabilité a été signalée dans le serveur web Apache Tomcat. L’exploitation de cette faille pourrait permettre à un attaquant distant d’exécuter du code arbitraire.

Oracle Database Server | Critique
Référence

tunCERT/Vuln.2019-123
Versions affectées

Oracle Database Server 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c et 19c
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été découvertes dans les composants Java VM, Core RDBMS et autres. L’exploitation de ces failles pourrait permettre à un attaquant de causer un déni de service voire d'atteindre à l’intégrité et à la confidentialité des données.

Oracle E-Business Suite | Critique
Référence

tunCERT/Vuln.2019-128
Versions affectées

Oracle E-Business Suite 0.9.8, 1.0.0, 1.0.1, 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5,
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Perte de confidentialité
Brève description
Des vulnérabilités ont été signalées dans les composants Oracle Advanced Outbound Telephony, Oracle CRM Technical Foundation et autres. L’exploitation de ces failles pourrait permettre à un attaquant distant d’atteindre à la confidentialité des données.

Produits Oracle MySQL | Critique
Référence

tunCERT/Vuln.2019-127
Versions affectées

MySQL Connectors 5.3.12 et antérieures, 8.0.15 et antérieures
MySQL Enterprise Backup 3.12.3 et antérieures, 4.1.2 et antérieures
MySQL Enterprise Monitor 4.0.8 et antérieures, 8.0.14 et antérieures
MySQL Server 5.6.43 et antérieures, 5.7.25 et antérieures, 8.0.15 et antérieures
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été signalées dans les produits Oracle MySQL. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni service voire d’atteindre à la confidentialité et à l’intégrité des données.

Produits Oracle Java SE | Critique
Référence

tunCERT/Vuln.2019-124
Versions affectées

Oracle Java SE 7u211, 8u202, 11.0.2 et 12
Oracle Java SE Embedded 8u201
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Plusieurs vulnérabilités ont été signalées dans les produits Java SE. L’exploitation de ces failles pourrait permettre à un utilisateur malintentionnée de causer un déni de service voire d’atteindre à l’intégrité et à la confidentialité des données.

Oracle Fusion Middleware | Critique
Référence

tunCERT/Vuln.2019-129
Versions affectées

FMW Platform 12.2.1.3.0
Oracle API Gateway 11.1.2.4.0
Oracle BI Publisher 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0
Oracle Business Intelligence Enterprise Edition 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0
Oracle Business Process Management Suite 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle Data Integrator 11.1.1.9.0, 12.2.1.3.0
Oracle Endeca Information Discovery Integrator 3.2.0
Oracle Fusion Middleware MapViewer 12.2.1.3.0
Oracle HTTP Server 12.2.1.3.0
Oracle Identity Analytics 11.1.1.5.8
Oracle JDeveloper 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle Managed File Transfer 12.1.3.0.0, 12.2.1.3.0
Oracle Outside In Technology 8.5.3, 8.5.4
Oracle Service Bus 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle SOA Suite 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle Traffic Director 11.1.1.9.0
Oracle Tuxedo 12.1.1.0.0
Oracle WebCenter Portal 12.2.1.3.0
Oracle WebCenter Sites 12.2.1.3.0
Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été signalées dans les produits Oracle Fusion Middleware. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service voire d'atteindre à la confidentialité et à l’intégrité des données.

Oracle VM VirtualBox | Critique
Référence

tunCERT/Vuln.2019-126
Versions affectées

Oracle VM VirtualBox antérieures à 5.2.28, antérieures à 6.0.6
Oracle Secure Global Desktop(SGD) 5.4
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été signalées dans les composants Oracle VM VirtualBox et Oracle Secure Global Desktop (SGD). L’exploitation de ces failles pourrait permettre à un attaquant de causer un déni de service et d’atteindre à l’intégrité et à la confidentialité des données.

Produits Oracle et systèmes Sun | Moyennement critique
Référence

tunCERT/Vuln.2019-125
Versions affectées

Solaris 10
Solaris 11
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Perte d'intégrité
Brève description
Des vulnérabilités ont été signalées dans les systèmes Solaris. L’exploitation de ces failles pourrait permettre à un attaquant d’atteindre à l’intégrité à des données.

OpenSSH | Critique
Référence

tunCERT/Vuln.2019-135
Versions affectées

OpenSSH antérieures à 8.0
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Perte de confidentialité
Brève description
Une vulnérabilité a été découverte dans la solution de connectivité « OpenSSH » à cause de l’impropre stérilisation des données en entrée. L'exploitation de cette faille pourrait permettre à un utilisateur malveillant de modifier des fichiers sensibles et de divulguer des informations privées.

Lu 1433 fois

Laissez un commentaire

Assurez-vous d'indiquer les informations obligatoires (*).
Le code HTML n'est pas autorisé.

© 2016 IRESA Tous droits réservés.