République Tunisienne

Ministère de l'Agriculture, des Ressources Hydrauliques et de la Pêche
Institution de la Recherche et de l'Enseignement Supérieur Agricoles

iresa

mardi, 02 mai 2017 12:32

Failles critiques dans les produits Oracle, Cisco, VMware et Apache

Évaluer cet élément
(0 Votes)

TunCERT - Tunisian Computer Emergency Response Team

Bulletin de Sécurité N° 2017-022

Sommaire :

• Critique - Oracle Fusion Middleware - (tunCERT/Vuln.2017-135) -
• Critique - Oracle Database Server - (tunCERT/Vuln.2017-129) -
• Critique - Produits Oracle MySQL - (tunCERT/Vuln.2017-133) -
• Critique - Produits Oracle Java SE - (tunCERT/Vuln.2017-130) -
• Critique - Oracle Linux et produits de virtualisation - (tunCERT/Vuln.2017-132) -
• Critique - Produits Oracle et systèmes Sun - (tunCERT/Vuln.2017-131) -
• Critique - Oracle E-Business Suite - (tunCERT/Vuln.2017-134) -
• Critique - Systèmes Cisco IOS et IOS XE - (tunCERT/Vuln.2017-137) -
• Critique - Cisco Unified Communications Manager - (tunCERT/Vuln.2017-138) -
• Critique - Cisco ASA Software - (tunCERT/Vuln.2017-136) -
• Critique - Produit VMware - (tunCERT/Vuln.2017-142) -
• Critique - VMware vCenter Server - (tunCERT/Vuln.2017-128) -
• Critique - Apache Tomcat - (tunCERT/Vuln.2017-127) -

Oracle Fusion Middleware | Critique

Référence

• tunCERT/Vuln.2017-135

Versions affectées

• Oracle WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1
• Oracle Fusion Middleware 11.1.1.7, 11.1.1.9
• Oracle Identity Manager 11.1.2.3.0
• Oracle API Gateway 11.1.2.3.0, 11.1.2.4.0
• Oracle Fusion Middleware MapViewer 11.1.1.9, 12.2.1.1, 12.2.1.2
• Oracle WebCenter Sites 1.1.1.8.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle Social Network antérieures à 11.1.12.0.0 (17019101)
• Oracle GlassFish Server 3.1.2
• Oracle Service Bus 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle WebCenter Content 11.1.1.7, 11.1.1.9, 12.2.1.0, 12.2.1.1, 12.2.1.2

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Des vulnérabilités ont été signalées dans les produits Oracle Fusion Middleware. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service et d'atteindre à la confidentialité et à l’intégrité des données.
Pour plus de détails
Oracle Database Server | Critique

Référence

• tunCERT/Vuln.2017-129

Versions affectées

• Oracle Database Server 11.2.0.4,12.1.0.2

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Des vulnérabilités ont été découvertes dans les composants OJVM et SQL *Plus. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service et d'atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Produits Oracle MySQL | Critique

Référence

• tunCERT/Vuln.2017-133

Versions affectées

• MySQL Server 5.5.53 et antérieures
• MySQL Server 5.6.34 et antérieures
• MySQL Server 5.7.16 et antérieures
• MySQL Enterprise Monitor 3.1.3.7856 et antérieures, 3.1.4.7895 et antérieures, 3.1.5.7958 et antérieures
• MySQL Enterprise Monitor 3.2.1.1049 et antérieures, 3.2.4.1102 et antérieures, 3.3.0.1098 et antérieures
• MySQL Cluster 7.2.26 et antérieures, 7.3.14 et antérieures, 7.4.12 et antérieures

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Des vulnérabilités ont été signalées dans les produits Oracle MySQL. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni service et d’atteindre à la confidentialité et l’intégrité des données.
Pour plus de détails
Produits Oracle Java SE | Critique

Référence

• tunCERT/Vuln.2017-130

Versions affectées

• Oracle JRockit R28.3.13
• Java SE Embedded 8u121
• Java SE 6u141, 7u131, 8u121

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Plusieurs vulnérabilités ont été signalées dans les produits Java SE. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service et d’atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Oracle Linux et produits de virtualisation | Critique

Référence

• tunCERT/Vuln.2017-132

Versions affectées

• Secure Global Desktop 4.71, 5.2, 5.3
• Oracle VM VirtualBox antérieures à 5.0.38 , 5.1.20

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Ces vulnérabilités sont dues à des erreurs dans les composants Secure Global Desktop et Oracle VM VirtualBox. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service et d’atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Produits Oracle et systèmes Sun | Critique

Référence

• tunCERT/Vuln.2017-131

Versions affectées

• Solaris 10
• Solaris 11.3
• StorageTek Tape Analytics SW Tool antérieures à 2.2.1
• Sun ZFS Storage Appliance Kit (AK) AK 2013
• Oracle SuperCluster Specific Software 2.3.8, 2.3.13
• Solaris Cluster 4.3

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Ces vulnérabilités sont dues à des erreurs dans les systèmes Solaris, Solaris Cluster et autres. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service et d’atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Oracle E-Business Suite | Critique

Référence

• tunCERT/Vuln.2017-134

Versions affectées

• Oracle E-Business Suite 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 et 12.2.6

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Ces vulnérabilités sont dues à des erreurs dans les composants Oracle Scripting, Oracle iReceivableset autres. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service, d’atteindre à la confidentialité et à l’intégrité des données.
Pour plus de détails
Systèmes Cisco IOS et IOS XE | Critique

Référence

• tunCERT/Vuln.2017-137

Versions affectées

• Systèmes Cisco IOS et IOS XE

Plates-formes affectées

• Cisco

Impact

• Déni de service

Brève description

Des vulnérabilités ont été signalées dans le composant « EnergyWise » des systèmes Cisco IOS et IOS XE. L’exploitation de cette faille pourrait permettre à un attaquant distant, en envoyant des paquets EnergyWise spécifiquement conçus, de causer le redémarrage d’un équipement défaillant.
Pour plus de détails
Cisco Unified Communications Manager | Critique

Référence

• tunCERT/Vuln.2017-138

Versions affectées

• Cisco Unified Communications Manager antérieures à 10.5.2.14900-16 ,11.0.1.23900-5 et 11.5.1.12900-2

Plates-formes affectées

• Cisco

Impact

• Déni de service

Brève description

Une vulnérabilité a été signalée dans les systèmes Cisco Unified Communications Manager. L’exploitation de cette faille pourrait permettre à attaquant distant, en envoyant un taux élevé des paquets SIP, de causer le redémarrage d’un équipement défaillant.
Pour plus de détails
Cisco ASA Software | Critique

Référence

• tunCERT/Vuln.2017-136

Versions affectées

• Cisco ASA 5500 Series Adaptive Security Appliances
• Cisco ASA 5500-X Series Next-Generation Firewalls
• Cisco ASA 1000V Cloud Firewall
• Cisco Adaptive Security Virtual Appliance (ASAv)
• Cisco ASA for Firepower 9300 Series
• Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600
• Cisco ISA 3000 Industrial Security Appliance

Plates-formes affectées

• Cisco

Impact

• Déni de service

Brève description

Des vulnérabilités ont été signalées dans les produits Cisco ASA Software à cause de l’impropre validation des paquets. L’exploitation de ces failles pourrait permettre à attaquant distant, par le moyen de paquets TLS ou IPsec spécifiquement conçus, de causer le redémarrage d’un équipement défaillant.
Pour plus de détails
Produit VMware | Critique

Référence

• tunCERT/Vuln.2017-142

Versions affectées

• VMware Unified Access Gateway 2.8.x antérieures à 2.8.1
• VMware Horizon View 7.x antérieures à 7.1.0
• VMware Horizon View 6.2.x antérieures à 6.2.4
• VMware Horizon View Client for Windows 4.x antérieures à 4.4.0
• VMware Workstation 12.x antérieures à 12.5.3

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Exécution de code arbitraire
• Déni de service

Brève description

Des vulnérabilités ont été corrigées dans les produits VMware Unified Access Gateway, VMware Horizon View et VMware Workstation. L’exploitation de ces failles pourrait permettre à un attaquant d’exécuter du code arbitraire et de causer un déni de service.
Pour plus de détails
VMware vCenter Server | Critique

Référence

• tunCERT/Vuln.2017-128

Versions affectées

• VMware vCenter Server 6.5 antérieures à 6.5c
• VMware vCenter Server 6.0 antérieures à 6.0U3b

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Exécution de code arbitraire

Brève description

Une vulnérabilité a été corrigée dans le composant BlazeDS qui traite les messages AMF3. L’exploitation de cette faille pourrait permettre à un attaquant d’exécuter du code arbitraire permettant la désérialisation d'un objet Java non approuvé.
Pour plus de détails
Apache Tomcat | Critique

Référence

• tunCERT/Vuln.2017-127

Versions affectées

• Apache Tomcat 9.0.0.M1 à 9.0.0.M17
• Apache Tomcat 8.5.0 à 8.5.11
• Apache Tomcat 8.0.0.RC1 à 8.0.41
• Apache Tomcat 7.0.0 à 7.0.75

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte de confidentialité
• Déni de service

Brève description

Des vulnérabilités ont été signalées dans le serveur web Apache Tomcat. L’exploitation de ces failles pourrait permettre à un attaquant distant, via des requêtes HTTP spécifiquement conçues, d’obtenir et modifier des données sensibles voire de causer la consommation excessive des ressources sur un système défaillant.
Pour plus de détails

Agence Nationale de la Sécurité Informatique | Adresse: 49, Av Jean Jaurès, 1000 Tunis, Tunisie. | Tel: 71 843 200 | Fax: 71 846 363
Pour toutes vos suggestions : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Pour désabonnement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Lu 224 fois Dernière modification le mardi, 02 mai 2017 12:34

Laissez un commentaire

Assurez-vous d'indiquer les informations obligatoires (*).
Le code HTML n'est pas autorisé.

© 2016 IRESA Tous droits réservés.