TunCERT - Tunisian Computer Emergency Response Team

Bulletin de Sécurité N° 2018-0011

Sommaire :

• Très critique - Adobe Flash Player (0-day) - (tunCERT/Vuln.2018-047) -
• Critique - Mozilla Firefox - (tunCERT/Vuln.2018-045) -

Adobe Flash Player (0-day) | Très critique

Référence

• tunCERT/Vuln.2018-047

Versions affectées

• Flash Player Desktop Runtime 28.0.0.137 et antérieures pour Windows, Linux et Macintosh

Plates-formes affectées

• Windows
• Linux
• Mac OS

Impact

• Exécution de code arbitraire
• Prise de contrôle à distance

Brève description

Une vulnérabilité a été découverte dans Adobe Flash Player. Elle pourrait permettre à un attaquant distant, en publiant une animation flash spécifiquement conçue sur le net ou partagée sur les réseaux sociaux (facebook, twitter, etc ...), d'exécuter du code arbitraire avec les privilèges de sa victime.
NB: Cette faille est activement exploitée dans des attaques visant les utilisateurs Windows.
Pour plus de détails

Mozilla Firefox | Critique

Référence

• tunCERT/Vuln.2018-045

Versions affectées

• Firefox antérieures à 58.0.1

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Exécution de code arbitraire
• Prise de contrôle à distance

Brève description

Une vulnérabilité a été découverte dans les produits Mozilla Firefox. L’exploitation de cette faille pourrait permettre à un attaquant distant d’exécuter du code arbitraire avec les privilèges de sa victime.
Pour plus de détails

Agence Nationale de la Sécurité Informatique | Adresse: 49, Av Jean Jaurès, 1000 Tunis, Tunisie. | Tel: 71 843 200 | Fax: 71 846 363
Pour toutes vos suggestions : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Pour désabonnement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

TunCERT - Tunisian Computer Emergency Response Team

Bulletin de Sécurité N° 2017-082

Sommaire :

• Critique - Adobe Flash Player - (tunCERT/Vuln.2017-424) -
• Critique - Microsoft Office - (tunCERT/Vuln.2017-428) -
• Critique - Microsoft Edge - (tunCERT/Vuln.2017-429) -
• Critique - Internet Explorer - (tunCERT/Vuln.2017-427) -
• Critique - Systèmes Microsoft Windows - (tunCERT/Vuln.2017-426) -
• Critique - Microsoft Exchange Server - (tunCERT/Vuln.2017-425) -

Adobe Flash Player | Critique

Référence

• tunCERT/Vuln.2017-424

Versions affectées

• Flash Player Desktop Runtime 27.0.0.187 et antérieures pour Windows, Linux et Macintosh

Plates-formes affectées

• Windows
• Linux
• Mac OS

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Prise de contrôle à distance

Brève description

Une vulnérabilité a été découverte dans Adobe Flash Player. L'exploitation de cette faille pourrait permettre à un attaquant distant, en publiant une animation flash spécifiquement conçue sur le net ou partagée sur les réseaux sociaux (facebook, twitter, etc ...), d'exécuter du code arbitraire avec les privilèges de sa victime.
Pour plus de détails
Microsoft Office | Critique

Référence

• tunCERT/Vuln.2017-428

Versions affectées

• Office 2010 Service Pack 2 (éditions 32 bits)
• Office 2010 Service Pack 2 (éditions 64 bits)
• Office 2016 32 bits
• Office 2007 SP 3
• Office 2013 (éditions 64 bits) SP1
• Office 2013 (éditions 32 bits) SP1
• Office 2013 RT SP1
• Office 2016 64 bits
• Office 2016 Click-to-Run (C2R) pour 32-bit editions
• Office 2016 Click-to-Run (C2R) pour 64-bit editions
• Office 2016 pour Mac
• Microsoft SharePoint Enterprise Server 2016

Plates-formes affectées

• Windows

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été signalées dans « Microsoft Office ». L’exploitation de ces failles pourrait permettre à un attaquant distant, en incitant sa victime à ouvrir un document office spécifiquement conçu, d’exécuter du code arbitraire avec les privilèges de celle-ci et de divulguer des informations sensibles.
Pour plus de détails
Microsoft Edge | Critique

Référence

• tunCERT/Vuln.2017-429

Versions affectées

• Windows 10 pour systèmes 32 bits
• Windows 10 pour systèmes x64
• Windows 10 Version 1511 pour systèmes 32 bits
• Windows 10 Version 1511 pour systèmes 64bits
• Windows 10 Version 1607 pour systèmes 32 bits
• Windows 10 Version 1607 pour systèmes 64bits
• Windows 10 Version 1703 pour systèmes 32 bits
• Windows 10 Version 1703 pour systèmes 64 bits
• Windows 10 Version 1709 pour systèmes 32 bits
• Windows 10 Version 1709 pour systèmes 64 bits
• Windows Server 2016

Plates-formes affectées

• Windows

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été signalées dans le navigateur web « Edge » de Microsoft Windows 10 à cause des erreurs lors du traitement des objets en mémoire. L’exploitation de ces failles pourrait permettre à un attaquant distant, en incitant sa victime à visiter un site web malveillant, d’exécuter du code arbitraire avec les privilèges de sa victime.
Pour plus de détails
Internet Explorer | Critique

Référence

• tunCERT/Vuln.2017-427

Versions affectées

• Internet Explorer 9
• Internet Explorer 10
• Internet Explorer 11

Plates-formes affectées

• Windows

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été signalées dans le navigateur web Internet Explorer. L'exploitation de ces failles pourrait permettre à un attaquant distant, en incitant sa victime à visiter une page web spécifiquement conçue, d’exécuter du code arbitraire avec les privilèges de celle-ci et de divulguer des informations sensibles.
Pour plus de détails
Systèmes Microsoft Windows | Critique

Référence

• tunCERT/Vuln.2017-426

Versions affectées

• Windows 7 32 bits Service Pack 1
• Windows 7 64 bits Service Pack 1
• Windows 8.1 pour les systèmes 32 bits
• Windows 8.1 pour les systèmes x64
• Windows 10 pour systèmes 32 bits
• Windows 10 pour systèmes x64
• Windows 10 Version 1511 pour systèmes 32 bits
• Windows 10 Version 1511 pour systèmes 64bits
• Windows 10 Version 1607 pour systèmes 32 bits
• Windows 10 Version 1607 pour systèmes 64bits
• Windows 10 Version 1703 pour systèmes 32 bits
• Windows 10 Version 1703 pour systèmes 64 bits
• Windows 10 Version 1709 pour systèmes 32 bits
• Windows 10 Version 1709 pour systèmes 64 bits
• Windows Server 2008 (Itanium) SP 2
• Windows Server 2008 (x64) SP 2
• Windows Server 2008 (32-bit) SP 2
• Windows Server 2008 R2 (Itanium) SP1
• Windows Server 2008 R2 systèmes x64 Service Pack 1
• Windows Server 2008 systèmes 32 bits Service Pack 2 (installation Server Core)
• Windows Server 2008 systèmes x64 Service Pack 2(installation Server Core)
• Windows Server 2008 2008 R2 pour systèmes x64 Service Pack 1(installation Server Core)
• Windows Server 2012
• Windows Server 2012 (installation Server Core)
• Windows Server 2012 R2
• Windows Server 2012 R2(installation Server Core)
• Windows Server 2016 systèmes x64
• Windows Server 2016 systèmes x64 (installation Server Core)
• Windows Server 2016 version 1709 (Server Core Installation)

Plates-formes affectées

• Windows

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été signalées dans les systèmes Windows. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant d’exécuter du code arbitraire, d'accéder à des données sensibles voire de prendre le contrôle total d’un système défaillant.
Pour plus de détails
Microsoft Exchange Server | Critique

Référence

• tunCERT/Vuln.2017-425

Versions affectées

• Microsoft Exchange Server 2013 Cumulative Update 18
• Microsoft Exchange Server 2013 Cumulative Update 17
• Microsoft Exchange Server 2016 Cumulative Update 6
• Microsoft Exchange Server 2016 Cumulative Update 7

Plates-formes affectées

• Windows

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été signalées dans Microsoft Exchange Outlook Web Access (OWA). L’exploitation de ces failles pourrait permettre à un attaquant distant, en incitant sa victime à ouvrir une pièce jointe spécifiquement conçue, d’exécuter du code arbitraire avec les privilèges de celle-ci et de divulguer des informations sensibles.
Pour plus de détails

Agence Nationale de la Sécurité Informatique | Adresse: 49, Av Jean Jaurès, 1000 Tunis, Tunisie. | Tel: 71 843 200 | Fax: 71 846 363
Pour toutes vos suggestions : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Pour désabonnement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

TunCERT - Tunisian Computer Emergency Response Team

Bulletin de Sécurité N° 2017-080

Sommaire :

• Critique - Google Android - (tunCERT/Vuln.2017-416) -
• Critique - Google Chrome - (tunCERT/Vuln.2017-418) -
• Critique - Mozilla Firefox - (tunCERT/Vuln.2017-415) -
• Critique - Mozilla Firefox - (tunCERT/Vuln.2017-420) -
• Critique - Produits Apple - (tunCERT/Vuln.2017-419) -

Google Android | Critique

Référence

• tunCERT/Vuln.2017-416

Versions affectées

• Android 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 et 8.0

Plates-formes affectées

• Android

Impact

• Obtention de privilèges
• Exécution de code arbitraire
• Perte de confidentialité
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été signalées dans les composants Media framework, System et autres dans les systèmes « Android ». L’exploitation de ces failles pourrait permettre à un utilisateur malveillant, en incitant sa victime à ouvrir un fichier multimédia spécifiquement conçu, d’exécuter du code arbitraire, d’élever ses privilèges et d’accéder aux données personnelles de celle-ci.
Pour plus de détails
Google Chrome | Critique

Référence

• tunCERT/Vuln.2017-418

Versions affectées

• Chrome antérieures à 63.0.3239.84 pour Windows et Mac et Linux

Plates-formes affectées

• Windows
• Linux
• Mac OS

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été signalées dans le navigateur web Google Chrome. L’exploitation de ces failles pourrait permettre à un attaquant distant, en incitant sa victime à visiter une page web spécifiquement conçue et publiée sur le net, d’exécuter du code arbitraire afin de prendre le contrôle total d’un système affecté.
Pour plus de détails
Mozilla Firefox | Critique

Référence

• tunCERT/Vuln.2017-415

Versions affectées

• Firefox antérieures à 57.0.1

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Déni de service

Brève description

Plusieurs vulnérabilités ont été découvertes dans les produits Mozilla Firefox. L’exploitation de ces failles pourrait permettre à un attaquant distant, en incitant sa victime à visiter une page web spécifiquement conçue, d’exécuter du code arbitraire avec les privilèges de celle-ci et de causer un déni de service.
Pour plus de détails
Mozilla Firefox | Critique

Référence

• tunCERT/Vuln.2017-420

Versions affectées

• Firefox antérieures à 57.0.2
• Firefox ESR antérieures à 52.2.2

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Déni de service

Brève description

Plusieurs vulnérabilités ont été découvertes dans les produits Mozilla Firefox. L’exploitation de ces failles pourrait permettre à un attaquant distant, en incitant sa victime à visiter une page web spécifiquement conçue, d’exécuter du code arbitraire avec les privilèges de celle-ci et de causer un déni de service.
Pour plus de détails
Produits Apple | Critique

Référence

• tunCERT/Vuln.2017-419

Versions affectées

• Apple iOS antérieures à 11.2 pour iPhone 5 et ultérieures, iPad Air et ultérieures, iPod touch 6éme génération
• macOS High Sierra antérieures à 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan

Plates-formes affectées

• Mac OS
• IPhone OS

Impact

• Exécution de code arbitraire
• Perte de confidentialité
• Déni de service
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été découvertes dans les produits Apple. L’exploitation de ces failles pourrait permettre à un attaquant, d’accéder à des informations sensibles, d’exécuter du code arbitraire, de causer un déni de service voire de prendre le contrôle total d’un équipement à distance s’il a réussi d'obtenir des privilèges élevés.
Pour plus de détails

Agence Nationale de la Sécurité Informatique | Adresse: 49, Av Jean Jaurès, 1000 Tunis, Tunisie. | Tel: 71 843 200 | Fax: 71 846 363
Pour toutes vos suggestions : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Pour désabonnement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

TunCERT - Tunisian Computer Emergency Response Team

Bulletin de Sécurité N° 2017-071

Sommaire :

• Très critique - Wi-Fi Protected Access -WPA: KRACK Attacks. - (tunCERT/Vuln.2017-350) -
• Trés critique - Adobe Flash Player - (tunCERT/Vuln.2017-336) -
• Critique - Google Chrome - (tunCERT/Vuln.2017-356) -
• Critique - Smartphones Huawei - (tunCERT/Vuln.2017-333) -

Wi-Fi Protected Access -WPA: KRACK Attacks | Très critique

Référence

• tunCERT/Vuln.2017-350

Produits / Systèmes affectés

• Tout produit ou système d'exploitation supportant le protocole WPA

Impact

• Perte d'intégrité
• Perte de confidentialité

Brève description

Des vulnérabilités ont été signalées dans le protocole Wi-Fi Protected Access. L’exploitation de ces failles pourrait permettre à un attaquant distant, via la technique Man In The Middle, de réinstaller la clé de connexion du réseau Wi-Fi victime et de déchiffrer les informations sensibles parcourues.
NB: Une preuve de concept a été publiée sur le net.

Nouveautés sur les produits / systèmes d’exploitation vulnérables et les disponibilités des mises à jour correctives:

Systèmes Microsoft Windows

Systèmes Linux Ubuntu

Systèmes Linux Debian

Systèmes Linux SuSe

Produits TP-Link

Produits Huawei (en cours d'investigation)

Pour l’instant, les mises à jour correctives pour les systèmes Google Android et Apple iOS sont indisponibles.

Adobe Flash Player | Trés critique

Référence

• tunCERT/Vuln.2017-336

Versions affectées

• Adobe Flash Player 27.0.0.159 pour Windows et Macintosh

Plates-formes affectées

• Windows
• Linux
• Mac OS

Impact

• Exécution de code arbitraire
• Prise de contrôle à distance

Brève description

Cette vulnérabilité est due à des erreurs dans « Adobe Flash Player ». L’exploitation de cette faille pourrait permettre à un attaquant distant, via une animation flash spécifiquement conçue, d’exécuter du code arbitraire voire de prendre le contrôle total du système affecté.
NB: Des tentatives d'exploitation ont été détectées par des laboratoires de sécurité sur le net.
Pour plus de détails
Google Chrome | Critique

Référence

• tunCERT/Vuln.2017-356

Versions affectées

• Google Chrome antérieures à 62.0.3202.62 pour Windows et Mac et Linux

Plates-formes affectées

• Windows
• Linux
• Mac OS

Impact

• Exécution de code arbitraire
• Déni de service
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été signalées dans le navigateur web Google Chrome. L’exploitation de ces failles pourrait permettre à un attaquant distant, en incitant sa victime à visiter une page web spécifiquement conçue et publiée sur le net, d’exécuter du code arbitraire afin de prendre le contrôle total d’un système affecté.
Pour plus de détails
Smartphones Huawei | Critique

Référence

• tunCERT/Vuln.2017-333

Versions affectées

• Huawei Honor 8 antérieures à FRD-AL00C00B391
• Huawei Honor 8 antérieures à FRD-DL00C00B391
• Huawei Honor V8 antérieures à KNT-AL10C00B391
• Huawei Honor V8 antérieures à KNT-AL20C00B391
• Huawei Honor V8 antérieures à KNT-UL10C00B391
• Huawei Honor V8 antérieures à KNT-TL10C00B391
• Huawei Honor 9 antérieures à Stanford-AL00C00B175
• Huawei Honor 9 antérieures à Stanford-AL10C00B175
• Huawei Honor 9 antérieures à Stanford-TL00C01B175
• Huawei Honor V9 antérieures à Duke-AL20C00B191
• Huawei Honor V9 antérieures à Duke-TL30C01B191
• Huawei Nova 2 antérieures à Picasso-AL00C00B162
• Huawei Nova 2 antérieures à Picasso-TL00C01B162
• Huawei Nova 2 Plus antérieures à Barca-AL00C00B162
• Huawei Nova 2 Plus antérieures à Barca-TL00C00B162
• Huawei P9 antérieures à EVA-AL10C00B396SP03
• Huawei P9 antérieures à EVA-CL00C92B396
• Huawei P9 antérieures à EVA-DL00C17B396
• Huawei P9 antérieures à EVA-TL00C01B396
• Huawei P10 antérieures à Vicky-AL00AC00B172
• Huawei Toronto antérieures à Toronto-AL00AC00B191
• Huawei Toronto antérieures à Toronto-TL10C01B191

Plates-formes affectées

• Huawei

Impact

• Perte d'intégrité
• Exécution de code arbitraire
• Déni de service
• Prise de contrôle à distance

Brève description

Des vulnérabilités ont été signalées dans les Smartphones Huawei. L’exploitation de ces failles pourrait permettre à un attaquant distant avec les privilèges « root » d’exécuter du code arbitraire voire de prendre le contrôle total d’un équipement défaillant.
Pour plus de détails

Agence Nationale de la Sécurité Informatique | Adresse: 49, Av Jean Jaurès, 1000 Tunis, Tunisie. | Tel: 71 843 200 | Fax: 71 846 363
Pour toutes vos suggestions : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Pour désabonnement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

TunCERT - Tunisian Computer Emergency Response Team

Bulletin de Sécurité N° 2017-070

Sommaire :

• Critique - Produits Oracle Java SE - (tunCERT/Vuln.2017-341) -
• Critique - Oracle Database Server - (tunCERT/Vuln.2017-340) -
• Critique - Produits Oracle MySQL. - (tunCERT/Vuln.2017-345) -
• Critique - Oracle Virtualization. - (tunCERT/Vuln.2017-343) -
• Critique - Produits Oracle et systèmes Sun. - (tunCERT/Vuln.2017-342) -
• Critique - Oracle Fusion Middleware. - (tunCERT/Vuln.2017-347) -
• Critique - Oracle E-Business Suite - (tunCERT/Vuln.2017-346) -

Produits Oracle Java SE | Critique

Référence

• tunCERT/Vuln.2017-341

Versions affectées

• Java SE 6u161, 7u151, 8u144, 9
• Java SE Embedded 8u144
• JRockit R28.3.15
• Java Advanced Management Console 2.7

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Plusieurs vulnérabilités ont été signalées dans les produits Java SE. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service voire d’atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Oracle Database Server | Critique

Référence

• tunCERT/Vuln.2017-340

Versions affectées

• Oracle Database Server 11.2.0.4, 12.1.0.2, 12.2.0.1

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Des vulnérabilités ont été découvertes dans les composants Core RDBMS, RDBMS Security et autres. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service voire d'atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Produits Oracle MySQL | Critique

Référence

• tunCERT/Vuln.2017-345

Versions affectées

• MySQL Server 5.5.57 et antérieures, 5.6.37 et antérieures, et 5.7.19 et antérieures
• MySQL Enterprise Monitor 3.2.8.2223 et antérieures, 3.3.4.3247 et antérantérieures, 3.4.2.4181 et antérieures
• MySQL Connectors 6.9.9 et antérieures

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Des vulnérabilités ont été signalées dans les produits Oracle MySQL. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni service voire d’atteindre à la confidentialité et à l’intégrité des données.
Pour plus de détails
Oracle Virtualization | Critique

Référence

• tunCERT/Vuln.2017-343

Versions affectées

• Oracle Secure Global Desktop (SGD) 5.3
• Oracle VM VirtualBox antérieures à 5.1.30

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Ces vulnérabilités sont dues à des erreurs dans les composants Oracle VM VirtualBox et Oracle Secure Global Desktop (SGD). L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service et d’atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Produits Oracle et systèmes Sun | Critique

Référence

• tunCERT/Vuln.2017-342

Versions affectées

• Solaris Cluster 3.3,4.3
• SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers antérieures à XCP 1123
• SPARC M7, T7, S7 based Servers antérieurs à 9.7.6.b
• Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers antérieures à XCP2340 et antérieures à XCP3030
• Sun ZFS Storage Appliance Kit (AK) AK 2013
• Oracle Integrated Lights Out Manager (ILOM) antérieures à 3.2.6

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Ces vulnérabilités sont dues à des erreurs dans les systèmes Oracle Integrated Lights Out Manager (ILOM), Solaris Cluster et autres. L’exploitation de ces failles pourrait permettre à un utilisateur malveillant de causer un déni de service voire d’atteindre à l’intégrité et à la confidentialité des données.
Pour plus de détails
Oracle Fusion Middleware | Critique

Référence

• tunCERT/Vuln.2017-347

Versions affectées

• Oracle BI Publisher 11.1.1.7.0, 11.1.1.9.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle Service Bus 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle Social Network antérieures à 11.1.12.0.0 (17019101)
• Oracle WebCenter Sites 1.1.1.8.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle WebLogic Server 10.3.6, 12.1.3, 12.2.1, 12.2.1.1, 12.2.1.2
• Oracle JDeveloper 12.1.3.0.0, 12.2.1.2.0
• Oracle Business Process Management Suite 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle HTTP Server 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle WebCenter Sites 11.1.1.8.0, 12.2.1.2.0
• Oracle Access Manager 11.1.2.3.0
• Oracle GlassFish Server 3.1.2
• Oracle Outside In Technology 8.5.3.0
• Oracle API Gateway 11.1.2.4.0
• Oracle Managed File Transfer 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle Business Intelligence Enterprise Edition 11.1.1.7.0, 11.1.1.9.0, 12.2.1.1.0, 12.2.1.2.0
• Oracle Endeca Information Discovery Integrator 2.4, 3.0, 3.1, 3.2
• Oracle Directory Server Enterprise Edition 11.1.1.7.0
• Management Pack for Oracle GoldenGate 11.2.1.0.12
• Oracle Virtual Directory 11.1.1.7.0, 11.1.1.9.0
• Oracle iPlanet Web Server 7.0

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité
• Déni de service

Brève description

Des vulnérabilités ont été signalées dans les produits Oracle Fusion Middleware. L’exploitation de ces failles pourrait permettre à un attaquant distant de causer un déni de service voire d'atteindre à la confidentialité et à l’intégrité des données.
Pour plus de détails

Oracle E-Business Suite | Critique

Référence

• tunCERT/Vuln.2017-346

Versions affectées

• Oracle E-Business Suite 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6 et 12.2.7

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Perte de confidentialité

Brève description

Ces vulnérabilités sont dues à des erreurs dans les composants Oracle Application Object Library, Oracle CRM Technical Foundation et autres. L’exploitation de ces failles pourrait permettre à un attaquant distant d’atteindre à la confidentialité et à l’intégrité des données.
Pour plus de détails

Agence Nationale de la Sécurité Informatique | Adresse: 49, Av Jean Jaurès, 1000 Tunis, Tunisie. | Tel: 71 843 200 | Fax: 71 846 363
Pour toutes vos suggestions : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Pour désabonnement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.