TunCERT - Tunisian Computer Emergency Response Team
Bulletin de Sécurité N° 2017-022
Sommaire :
• Critique - Oracle Fusion Middleware - (tunCERT/Vuln.2017-135) -
• Critique - Oracle Database Server - (tunCERT/Vuln.2017-129) -
• Critique - Produits Oracle MySQL - (tunCERT/Vuln.2017-133) -
• Critique - Produits Oracle Java SE - (tunCERT/Vuln.2017-130) -
• Critique - Oracle Linux et produits de virtualisation - (tunCERT/Vuln.2017-132) -
• Critique - Produits Oracle et systèmes Sun - (tunCERT/Vuln.2017-131) -
• Critique - Oracle E-Business Suite - (tunCERT/Vuln.2017-134) -
• Critique - Systèmes Cisco IOS et IOS XE - (tunCERT/Vuln.2017-137) -
• Critique - Cisco Unified Communications Manager - (tunCERT/Vuln.2017-138) -
• Critique - Cisco ASA Software - (tunCERT/Vuln.2017-136) -
• Critique - Produit VMware - (tunCERT/Vuln.2017-142) -
• Critique - VMware vCenter Server - (tunCERT/Vuln.2017-128) -
• Critique - Apache Tomcat - (tunCERT/Vuln.2017-127) -
Oracle Fusion Middleware | Critique
Référence
• tunCERT/Vuln.2017-135
Versions affectées
• Oracle WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1
• Oracle Fusion Middleware 11.1.1.7, 11.1.1.9
• Oracle Identity Manager 11.1.2.3.0
• Oracle API Gateway 11.1.2.3.0, 11.1.2.4.0
• Oracle Fusion Middleware MapViewer 11.1.1.9, 12.2.1.1, 12.2.1.2
• Oracle WebCenter Sites 1.1.1.8.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle Social Network antérieures à 11.1.12.0.0 (17019101)
• Oracle GlassFish Server 3.1.2
• Oracle Service Bus 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle WebCenter Content 11.1.1.7, 11.1.1.9, 12.2.1.0, 12.2.1.1, 12.2.1.2
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Perte d'intégrité
• Perte de confidentialité
• Déni de service
Brève description
Des vulnérabilités ont été signalées dans les produits Oracle Fusion Middleware. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service et d'atteindre à la confidentialité et à l’intégrité des données.
Pour plus de détails
Oracle Database Server | Critique
Référence
• tunCERT/Vuln.2017-129
Versions affectées
• Oracle Database Server 11.2.0.4,12.1.0.2
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Perte d'intégrité
• Perte de confidentialité
• Déni de service
Brève description
Des vulnérabilités ont été découvertes dans les composants OJVM et SQL *Plus. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service et d'atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Produits Oracle MySQL | Critique
Référence
• tunCERT/Vuln.2017-133
Versions affectées
• MySQL Server 5.5.53 et antérieures
• MySQL Server 5.6.34 et antérieures
• MySQL Server 5.7.16 et antérieures
• MySQL Enterprise Monitor 3.1.3.7856 et antérieures, 3.1.4.7895 et antérieures, 3.1.5.7958 et antérieures
• MySQL Enterprise Monitor 3.2.1.1049 et antérieures, 3.2.4.1102 et antérieures, 3.3.0.1098 et antérieures
• MySQL Cluster 7.2.26 et antérieures, 7.3.14 et antérieures, 7.4.12 et antérieures
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Perte d'intégrité
• Perte de confidentialité
• Déni de service
Brève description
Des vulnérabilités ont été signalées dans les produits Oracle MySQL. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni service et d’atteindre à la confidentialité et l’intégrité des données.
Pour plus de détails
Produits Oracle Java SE | Critique
Référence
• tunCERT/Vuln.2017-130
Versions affectées
• Oracle JRockit R28.3.13
• Java SE Embedded 8u121
• Java SE 6u141, 7u131, 8u121
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Perte d'intégrité
• Perte de confidentialité
• Déni de service
Brève description
Plusieurs vulnérabilités ont été signalées dans les produits Java SE. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service et d’atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Oracle Linux et produits de virtualisation | Critique
Référence
• tunCERT/Vuln.2017-132
Versions affectées
• Secure Global Desktop 4.71, 5.2, 5.3
• Oracle VM VirtualBox antérieures à 5.0.38 , 5.1.20
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Perte d'intégrité
• Perte de confidentialité
• Déni de service
Brève description
Ces vulnérabilités sont dues à des erreurs dans les composants Secure Global Desktop et Oracle VM VirtualBox. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service et d’atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Produits Oracle et systèmes Sun | Critique
Référence
• tunCERT/Vuln.2017-131
Versions affectées
• Solaris 10
• Solaris 11.3
• StorageTek Tape Analytics SW Tool antérieures à 2.2.1
• Sun ZFS Storage Appliance Kit (AK) AK 2013
• Oracle SuperCluster Specific Software 2.3.8, 2.3.13
• Solaris Cluster 4.3
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Perte d'intégrité
• Perte de confidentialité
• Déni de service
Brève description
Ces vulnérabilités sont dues à des erreurs dans les systèmes Solaris, Solaris Cluster et autres. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service et d’atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Oracle E-Business Suite | Critique
Référence
• tunCERT/Vuln.2017-134
Versions affectées
• Oracle E-Business Suite 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 et 12.2.6
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Perte d'intégrité
• Perte de confidentialité
• Déni de service
Brève description
Ces vulnérabilités sont dues à des erreurs dans les composants Oracle Scripting, Oracle iReceivableset autres. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service, d’atteindre à la confidentialité et à l’intégrité des données.
Pour plus de détails
Systèmes Cisco IOS et IOS XE | Critique
Référence
• tunCERT/Vuln.2017-137
Versions affectées
• Systèmes Cisco IOS et IOS XE
Plates-formes affectées
• Cisco
Impact
• Déni de service
Brève description
Des vulnérabilités ont été signalées dans le composant « EnergyWise » des systèmes Cisco IOS et IOS XE. L’exploitation de cette faille pourrait permettre à un attaquant distant, en envoyant des paquets EnergyWise spécifiquement conçus, de causer le redémarrage d’un équipement défaillant.
Pour plus de détails
Cisco Unified Communications Manager | Critique
Référence
• tunCERT/Vuln.2017-138
Versions affectées
• Cisco Unified Communications Manager antérieures à 10.5.2.14900-16 ,11.0.1.23900-5 et 11.5.1.12900-2
Plates-formes affectées
• Cisco
Impact
• Déni de service
Brève description
Une vulnérabilité a été signalée dans les systèmes Cisco Unified Communications Manager. L’exploitation de cette faille pourrait permettre à attaquant distant, en envoyant un taux élevé des paquets SIP, de causer le redémarrage d’un équipement défaillant.
Pour plus de détails
Cisco ASA Software | Critique
Référence
• tunCERT/Vuln.2017-136
Versions affectées
• Cisco ASA 5500 Series Adaptive Security Appliances
• Cisco ASA 5500-X Series Next-Generation Firewalls
• Cisco ASA 1000V Cloud Firewall
• Cisco Adaptive Security Virtual Appliance (ASAv)
• Cisco ASA for Firepower 9300 Series
• Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600
• Cisco ISA 3000 Industrial Security Appliance
Plates-formes affectées
• Cisco
Impact
• Déni de service
Brève description
Des vulnérabilités ont été signalées dans les produits Cisco ASA Software à cause de l’impropre validation des paquets. L’exploitation de ces failles pourrait permettre à attaquant distant, par le moyen de paquets TLS ou IPsec spécifiquement conçus, de causer le redémarrage d’un équipement défaillant.
Pour plus de détails
Produit VMware | Critique
Référence
• tunCERT/Vuln.2017-142
Versions affectées
• VMware Unified Access Gateway 2.8.x antérieures à 2.8.1
• VMware Horizon View 7.x antérieures à 7.1.0
• VMware Horizon View 6.2.x antérieures à 6.2.4
• VMware Horizon View Client for Windows 4.x antérieures à 4.4.0
• VMware Workstation 12.x antérieures à 12.5.3
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Exécution de code arbitraire
• Déni de service
Brève description
Des vulnérabilités ont été corrigées dans les produits VMware Unified Access Gateway, VMware Horizon View et VMware Workstation. L’exploitation de ces failles pourrait permettre à un attaquant d’exécuter du code arbitraire et de causer un déni de service.
Pour plus de détails
VMware vCenter Server | Critique
Référence
• tunCERT/Vuln.2017-128
Versions affectées
• VMware vCenter Server 6.5 antérieures à 6.5c
• VMware vCenter Server 6.0 antérieures à 6.0U3b
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Exécution de code arbitraire
Brève description
Une vulnérabilité a été corrigée dans le composant BlazeDS qui traite les messages AMF3. L’exploitation de cette faille pourrait permettre à un attaquant d’exécuter du code arbitraire permettant la désérialisation d'un objet Java non approuvé.
Pour plus de détails
Apache Tomcat | Critique
Référence
• tunCERT/Vuln.2017-127
Versions affectées
• Apache Tomcat 9.0.0.M1 à 9.0.0.M17
• Apache Tomcat 8.5.0 à 8.5.11
• Apache Tomcat 8.0.0.RC1 à 8.0.41
• Apache Tomcat 7.0.0 à 7.0.75
Plates-formes affectées
• Indépendant de la Plate-forme
Impact
• Perte de confidentialité
• Déni de service
Brève description
Des vulnérabilités ont été signalées dans le serveur web Apache Tomcat. L’exploitation de ces failles pourrait permettre à un attaquant distant, via des requêtes HTTP spécifiquement conçues, d’obtenir et modifier des données sensibles voire de causer la consommation excessive des ressources sur un système défaillant.
Pour plus de détails
Agence Nationale de la Sécurité Informatique | Adresse: 49, Av Jean Jaurès, 1000 Tunis, Tunisie. | Tel: 71 843 200 | Fax: 71 846 363
Pour toutes vos suggestions : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Pour désabonnement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.