Bulletin de Sécurité N° 2019-033
Sommaire:
Critique - Cisco Expressway Series et Cisco TelePresence Video Communication Server- (tunCERT/Vuln.2019-131) -
Critique - Cisco ASR 9000 Series Aggregation Services Routers- (tunCERT/Vuln.2019-132) -
Critique - Cisco Wireless LAN Controllers- (tunCERT/Vuln.2019-130) -
Critique - Cisco Aironet Series Access Points- (tunCERT/Vuln.2019-133) -
Critique - Produits VMware- (tunCERT/Vuln.2019-121) -
Critique - Apache Tomcat- (tunCERT/Vuln.2019-122) -
Critique - Oracle Database Server- (tunCERT/Vuln.2019-123) -
Critique - Oracle E-Business Suite- (tunCERT/Vuln.2019-128) -
Critique - Produits Oracle MySQL- (tunCERT/Vuln.2019-127) -
Critique - Produits Oracle Java SE- (tunCERT/Vuln.2019-124) -
Critique - Oracle Fusion Middleware- (tunCERT/Vuln.2019-129) -
Critique - Oracle VM VirtualBox- (tunCERT/Vuln.2019-126) -
Moyennement critique - Produits Oracle et systèmes Sun- (tunCERT/Vuln.2019-125) -
Critique - OpenSSH- (tunCERT/Vuln.2019-135) -
Cisco Expressway Series et Cisco TelePresence Video Communication Server | Critique
Référence
tunCERT/Vuln.2019-131
Versions affectées
Cisco Expressway Series et Cisco TelePresence Video Communication Server antérieures à X12.5.1
Plates-formes affectées
Cisco
Impact
Déni de service
Brève description
Une vulnérabilité a été signalés dans les produits Cisco Expressway Series et Cisco TelePresence Video Communication Server à cause de l’impropre traitement des données XML en entrée. L’exploitation de cette faille pourrait permettre à un attaquant distant, en envoyant des paquets SIP spécifiquement conçus, de causer un déni e service.
Cisco ASR 9000 Series Aggregation Services Routers | Critique
Référence
tunCERT/Vuln.2019-132
Versions affectées
Cisco IOS XR 64-bit Software pour Cisco ASR 9000 Series Aggregation Services Routers
Plates-formes affectées
Cisco
Impact
Obtention d'un accès
Déni de service
Prise de contrôle à distance
Brève description
Une vulnérabilité a été signalée dans sysadmin virtual machine (VM) dans les produits Cisco Cisco ASR 9000 Series Aggregation Services Routers. L’exploitation de cette faille pourrait permettre à un attaquant distant de causer un déni de service et d'obtenir un accès sans authentification avec des privilèges élevés à un équipement vulnérable.
Cisco Wireless LAN Controllers | Critique
Référence
tunCERT/Vuln.2019-130
Versions affectées
Cisco Wireless LAN Controllers
Plates-formes affectées
Cisco
Impact
Obtention de privilèges
Perte d'intégrité
Exécution de code arbitraire
Perte de confidentialité
Déni de service
Prise de contrôle
Brève description
Des vulnérabilités ont été signalées dans les produits Cisco Wireless LAN Controllers (WLCs) à cause de l'insuffisance de stérilisation de données en entrée via les sessions HTTP/HTTPS et SSH. L’exploitation de ces failles pourrait permettre à un attaquant distant de réaliser des attaques de type CSRF, de voler la session d'un utilisateur légitime, de causer un déni de service ainsi que modifier la configuration d'un équipement défaillant .
Cisco Aironet Series Access Points | Critique
Référence
tunCERT/Vuln.2019-133
Versions affectées
Aironet 1540 Series APs
Aironet 1800 Series APs
Aironet 2800 Series APs
Aironet 3800 Series Aps
Plates-formes affectées
Cisco
Impact
Exécution de code arbitraire
Obtention d'un accès
Prise de contrôle à distance
Brève description
Une vulnérabilité a été signalée dans les produits Cisco Aironet Series Access Points à cause de l’impropre validation des données en entrée. L’exploitation de cette faille pourrait permettre à un utilisateur malveillant d’obtenir un accès « root » à un système vulnérable.
Produits VMware | Critique
Référence
tunCERT/Vuln.2019-121
Versions affectées
ESXi 6.7 antérieures à ESXi670-201904101-SG
ESXi 6.5 antérieures à ESXi650-201903001
Workstation 15.x antérieures à 15.0.3
Workstation 14.x antérieures à 14.1.6
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été signalées dans les fonctionnalités vertex shader, shader translator et 3D-acceleration des produits VMware: Workstation, Fusion et ESXi. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service.
Apache Tomcat | Critique
Référence
tunCERT/Vuln.2019-122
Versions affectées
Apache Tomcat 9.0.x antérieures à 9.0.19
Apache Tomcat 8.x antérieures à 8.5.40
Apache Tomcat 7.0.x antérieures à 7.0.94
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Exécution de code arbitraire
Brève description
Une vulnérabilité a été signalée dans le serveur web Apache Tomcat. L’exploitation de cette faille pourrait permettre à un attaquant distant d’exécuter du code arbitraire.
Oracle Database Server | Critique
Référence
tunCERT/Vuln.2019-123
Versions affectées
Oracle Database Server 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c et 19c
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été découvertes dans les composants Java VM, Core RDBMS et autres. L’exploitation de ces failles pourrait permettre à un attaquant de causer un déni de service voire d'atteindre à l’intégrité et à la confidentialité des données.
Oracle E-Business Suite | Critique
Référence
tunCERT/Vuln.2019-128
Versions affectées
Oracle E-Business Suite 0.9.8, 1.0.0, 1.0.1, 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5,
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Perte de confidentialité
Brève description
Des vulnérabilités ont été signalées dans les composants Oracle Advanced Outbound Telephony, Oracle CRM Technical Foundation et autres. L’exploitation de ces failles pourrait permettre à un attaquant distant d’atteindre à la confidentialité des données.
Produits Oracle MySQL | Critique
Référence
tunCERT/Vuln.2019-127
Versions affectées
MySQL Connectors 5.3.12 et antérieures, 8.0.15 et antérieures
MySQL Enterprise Backup 3.12.3 et antérieures, 4.1.2 et antérieures
MySQL Enterprise Monitor 4.0.8 et antérieures, 8.0.14 et antérieures
MySQL Server 5.6.43 et antérieures, 5.7.25 et antérieures, 8.0.15 et antérieures
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été signalées dans les produits Oracle MySQL. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni service voire d’atteindre à la confidentialité et à l’intégrité des données.
Produits Oracle Java SE | Critique
Référence
tunCERT/Vuln.2019-124
Versions affectées
Oracle Java SE 7u211, 8u202, 11.0.2 et 12
Oracle Java SE Embedded 8u201
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Plusieurs vulnérabilités ont été signalées dans les produits Java SE. L’exploitation de ces failles pourrait permettre à un utilisateur malintentionnée de causer un déni de service voire d’atteindre à l’intégrité et à la confidentialité des données.
Oracle Fusion Middleware | Critique
Référence
tunCERT/Vuln.2019-129
Versions affectées
FMW Platform 12.2.1.3.0
Oracle API Gateway 11.1.2.4.0
Oracle BI Publisher 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0
Oracle Business Intelligence Enterprise Edition 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0
Oracle Business Process Management Suite 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle Data Integrator 11.1.1.9.0, 12.2.1.3.0
Oracle Endeca Information Discovery Integrator 3.2.0
Oracle Fusion Middleware MapViewer 12.2.1.3.0
Oracle HTTP Server 12.2.1.3.0
Oracle Identity Analytics 11.1.1.5.8
Oracle JDeveloper 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle Managed File Transfer 12.1.3.0.0, 12.2.1.3.0
Oracle Outside In Technology 8.5.3, 8.5.4
Oracle Service Bus 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle SOA Suite 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle Traffic Director 11.1.1.9.0
Oracle Tuxedo 12.1.1.0.0
Oracle WebCenter Portal 12.2.1.3.0
Oracle WebCenter Sites 12.2.1.3.0
Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été signalées dans les produits Oracle Fusion Middleware. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service voire d'atteindre à la confidentialité et à l’intégrité des données.
Oracle VM VirtualBox | Critique
Référence
tunCERT/Vuln.2019-126
Versions affectées
Oracle VM VirtualBox antérieures à 5.2.28, antérieures à 6.0.6
Oracle Secure Global Desktop(SGD) 5.4
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Perte d'intégrité
Perte de confidentialité
Déni de service
Brève description
Des vulnérabilités ont été signalées dans les composants Oracle VM VirtualBox et Oracle Secure Global Desktop (SGD). L’exploitation de ces failles pourrait permettre à un attaquant de causer un déni de service et d’atteindre à l’intégrité et à la confidentialité des données.
Produits Oracle et systèmes Sun | Moyennement critique
Référence
tunCERT/Vuln.2019-125
Versions affectées
Solaris 10
Solaris 11
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Perte d'intégrité
Brève description
Des vulnérabilités ont été signalées dans les systèmes Solaris. L’exploitation de ces failles pourrait permettre à un attaquant d’atteindre à l’intégrité à des données.
OpenSSH | Critique
Référence
tunCERT/Vuln.2019-135
Versions affectées
OpenSSH antérieures à 8.0
Plates-formes affectées
Indépendant de la Plate-forme
Impact
Perte de confidentialité
Brève description
Une vulnérabilité a été découverte dans la solution de connectivité « OpenSSH » à cause de l’impropre stérilisation des données en entrée. L'exploitation de cette faille pourrait permettre à un utilisateur malveillant de modifier des fichiers sensibles et de divulguer des informations privées.