République Tunisienne

Ministère de l'Agriculture, des Ressources Hydrauliques et de la Pêche
Institution de la Recherche et de l'Enseignement Supérieur Agricoles

iresa

Bulletin de Sécurité N° 2018-049

Sommaire:
Très critique - Noyau de Drupal- (tunCERT/Vuln.2018-224) -
Très critique - phpMyAdmin- (tunCERT/Vuln.2018-223) -

Noyau de Drupal | Très critique
Référence

tunCERT/Vuln.2018-224
Versions affectées

Drupal Core 7.x antérieures à 7.59
Drupal Core 8.5.x antérieures à 8.5.3
Drupal Core 8.4.x antérieures à 8.4.8
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Exécution de code arbitraire
Brève description
Une vulnérabilité a été signalée dans le noyau du CMS Drupal. L’exploitation de cette faille pourrait permettre à un attaquant distant d’exécuter du code arbitraire.
NB: Des exploits ont été publiés sur le net.

Pour plus de détails
phpMyAdmin | Très critique
Référence

tunCERT/Vuln.2018-223
Versions affectées

phpMyAdmin antérieures à 4.8.2
Plates-formes affectées

Indépendant de la Plate-forme
Impact

Exécution de code arbitraire
Perte de confidentialité
Brève description
Des vulnérabilités ont été signalées dans la fonction «js/designer/move.js » de phpMyAdmin. L’exploitation de ces failles pourrait permettre à un attaquant distant, en incitant sa victime à cliquer sur une URL spécifiquement conçue, de réaliser des attaques de type cross-site scripting (XSS) et d’exécuter du code arbitraire.
N.B: Un exploit a été publié sur le net.

Pour plus de détails

Agence Nationale de la Sécurité Informatique | Adresse: 49, Av Jean Jaurès, 1000 Tunis, Tunisie. | Tel: 71 843 200 | Fax: 71 846 363
Pour toutes vos suggestions : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Pour désabonnement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

mardi, 27 février 2018 11:20

Failles critiques dans Drupal et phpMyAdmin

TunCERT - Tunisian Computer Emergency Response Team

Bulletin de Sécurité N° 2018-017

Sommaire :

• Critique - Noyau Drupal - (tunCERT/Vuln.2018-070) -
• Critique - phpMyAdmin - (tunCERT/Vuln.2018-069) -

Noyau Drupal | Critique

Référence

• tunCERT/Vuln.2018-070

Versions affectées

• Drupal core 7.x antérieures à 7.57
• Drupal core 8.4.x antérieures à 8.4.5

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Exécution de code arbitraire
• Perte de confidentialité
• Obtention d'un accès

Brève description

Des vulnérabilités ont été découvertes dans le noyau Drupal. L’exploitation de ces failles pourrait permettre à un attaquant distant, d'accéder à des informations confidentielles afin d’injecter du code malveillant.
Pour plus de détails

phpMyAdmin | Critique

Référence

• tunCERT/Vuln.2018-069

Versions affectées

• phpMyAdmin 4.7.x antérieures à 4.7.8

Plates-formes affectées

• Indépendant de la Plate-forme

Impact

• Perte d'intégrité
• Exécution de code arbitraire
• Perte de confidentialité

Brève description

Une vulnérabilité a été signalée dans le script « db_central_columns.php » de phpMyAdmin. L’exploitation de cette faille pourrait permettre à un attaquant distant, via une URL spécifiquement conçue, de réaliser des attaques de type Cross-site scripting (XSS).
Pour plus de détails

Agence Nationale de la Sécurité Informatique | Adresse: 49, Av Jean Jaurès, 1000 Tunis, Tunisie. | Tel: 71 843 200 | Fax: 71 846 363
Pour toutes vos suggestions : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Pour désabonnement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

© 2016 IRESA Tous droits réservés.