Correctif

Avis de sécurité ESET du 20 décembre 2023

Par / 24 décembre 2023 / 2 minutes de lecture / CERT, Confidentialité, Correctif, ESET, Faille, Politique de sécurité

303 ESET vient d’émettre son Bulletin de sécurité CA8562 daté du 20 décembre 2023. Une vulnérabilité a été découverte dans les produits ESET. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données et un contournement de la politique de sécurité. ESET a été informé d’une vulnérabilité dans sa fonction d’analyse du protocole SSL/TLS, disponible dans les produits ESET répertoriés dans la section Produits concernés ci-dessous. Cette vulnérabilité amènerait un navigateur à faire confiance à un site avec un certificat signé avec un algorithme obsolète auquel il ne faut pas faire confiance. La vulnérabilité de la fonctionnalité d’analyse sécurisée du trafic était due à une validation incorrecte de la chaîne de certificats du serveur. Un certificat intermédiaire […]

Avis de sécurité ESET du 20 décembre 2023 Lire la suite »

CERT, Confidentialité, Correctif, ESET, Faille, Politique de sécurité

Avis de sécurité IBM du 18 décembre 2023

Par / 23 décembre 2023 / 2 minutes de lecture / CERT, Code arbitraire, Confidentialité, Correctif, DDoS, Elévation privilèges, Faille, IBM, News

209 Les émissions de bulletins de sécurité IBM du 18 décembre 2023 IBM vient d’émettre plusieurs bulletins de sécurité concernant la correction de multiples vulnérabilités. Certaines d’entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une exécution de code arbitraire à distance, un déni de service à distance et une élévation de privilèges. IBM QRadar SIEM comprend des composants vulnérables (par exemple, des bibliothèques de structure) qui pourraient être identifiés et exploités avec des outils automatisés. Une vulnérabilité dans ISC BIND pourrait permettre à un attaquant distant de provoquer un déni de service (CVE-2023-3341). AIX utilise ISC BIND dans le cadre de ses fonctions DNS. Le client EBIC d’IBM Sterling B2B Integrator est affecté par

Avis de sécurité IBM du 18 décembre 2023 Lire la suite »

CERT, Code arbitraire, Confidentialité, Correctif, DDoS, Elévation privilèges, Faille, IBM, News

Avis de sécurité Mozilla du 19 décembre 2023.

Par / 21 décembre 2023 / 2 minutes de lecture / CERT, Code arbitraire, Confidentialité, Confidentialité, Correctif, Faille, Firefox, Mozilla, Thunderbird

195 Multiples bulletins de sécurité Mozilla émis le 19 décembre 2023. Mozilla corrige de nombreuses vulnérabilités dans plusieurs de ses produits Firefox et Thunderbird. Certaines d’entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur. D’autres peuvent porter atteinte à la confidentialité des données, à l’exécution de code arbitraire à distance et au contournement de la politique de sécurité. CVE-2023-6135 : NSS sensible à l’attaque “Minerva”. Plusieurs courbes NSS NIST étaient sensibles à une attaque par canal latéral connue sous le nom de « Minerva ». Cette attaque pourrait potentiellement permettre à un attaquant de récupérer la clé privée. CVE-2023-6856 : Débordement de tampon de tas affectant la méthode WebGL DrawElementsInstanced avec le pilote Mesa

Avis de sécurité Mozilla du 19 décembre 2023. Lire la suite »

CERT, Code arbitraire, Confidentialité, Confidentialité, Correctif, Faille, Firefox, Mozilla, Thunderbird

Avis de sécurité IBM du 11 décembre 2023.

Par / 16 décembre 2023 / 2 minutes de lecture / CERT, Code arbitraire, Correctif, DDoS, Elévation privilèges, Faille, IBM

156 Bulletin de sécurité IBM du 11 décembre 2023. IBM vient d’émettre un bulletin de sécurité traitant de multiples vulnérabilités découvertes dans certains de ses produits (AIX et Db2). Certaines d’entre elles permettent à un attaquant de provoquer un déni de service à distance, une élévation de privilèges et une exécution de code arbitraire à distance. Une vulnérabilité dans le système des imprimantes AIX pourrait permettre à un utilisateur local non privilégié d’obtenir des privilèges élevés ou provoquer un déni de service (CVE-2023-45166, CVE-2023-45174, CVE-2023-45170). CVE-2023-45166, IBM AIX pourrait autoriser un serveur local non privilégié l’utilisateur doit exploiter une vulnérabilité dans la commande piodmgrsu pour obtenir des privilèges élevés. CVE-2023-45174, IBM AIX pourrait permettre à un utilisateur local privilégié d’exploiter une

Avis de sécurité IBM du 11 décembre 2023. Lire la suite »

CERT, Code arbitraire, Correctif, DDoS, Elévation privilèges, Faille, IBM

WordPress corrige une vulnérabilité aux attaques RCE

Par / 8 décembre 2023 / 1 minute de lecture / Correctif, WordPress

161 WordPress corrige la chaîne POP exposant les sites Web aux attaques RCE. WordPress a publié la version 6.4.2 qui corrige une vulnérabilité d’exécution de code à distance (RCE) qui pourrait être liée à une autre faille pour permettre aux attaquants d’exécuter du code PHP arbitraire sur le site Web cible. WordPress est un système de gestion de contenu (CMS) open source très populaire utilisé pour créer et gérer des sites Web. Il est actuellement utilisé par plus de 800 millions de sites, soit environ 45 % de tous les sites Internet. Selon les chercheurs de l’équipe sécurité, un attaquant exploitant une vulnérabilité d’injection d’objet pourrait prendre le contrôle de ces propriétés pour exécuter du code arbitraire. Même si la vulnérabilité

WordPress corrige une vulnérabilité aux attaques RCE Lire la suite »

Correctif, WordPress

Avis de sécurité SolarWinds du 28 novembre 2023

Par / 2 décembre 2023 / 1 minute de lecture / CERT, Code arbitraire, Confidentialité, Correctif, Faille, SolarWinds

106 Bulletin  de sécurité SolarWinds du 28 novembre 2023 Une vulnérabilité a été découverte dans SolarWinds Platform. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données. Elle fait suite à un défaut de contrôle des données saisies par l’utilisateur dans SolarWinds Platform. Un attaquant authentifié peut exécuter du code arbitraire en envoyant des requêtes spécifiquement configurées à cet effet. Plus précisément, il s’agit de la possibilité d’exécuter du code arbitraire à distance par injection de code SQL dans la plateforme SolarWinds. une faille identifiée CVE-2023-40056. Cette vulnérabilité peut être exploitée avec un compte à faible privilège. Elle a été trouvée par Alex Birnberg qui travaille avec l’équipe Trend Micro Zero Day. L’avis de sécurité SolarWinds du

Avis de sécurité SolarWinds du 28 novembre 2023 Lire la suite »

CERT, Code arbitraire, Confidentialité, Correctif, Faille, SolarWinds
Retour en haut