Vigil@nce - WebSphere 8.5 : multiples vulnérabilités
mai 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de WebSphere
8.5.
Produits concernés : WebSphere AS
Gravité : 2/4
Date création : 30/04/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans WebSphere 8.5.
Un attaquant peut utiliser Compute Grid, afin d’obtenir des
informations sensibles. [grav:2/4 ; CVE-2013-4039, PM84760]
Un attaquant peut provoquer un Cross Site Scripting, afin
d’exécuter du code JavaScript dans le contexte du site web.
[grav:2/4 ; BID-65099, CVE-2013-6725, PM98132]
Un attaquant peut envoyer des données XML illicites vers le
parseur XML, afin de mener un déni de service. [grav:2/4 ;
BID-65096, CVE-2013-6325, PM99450]
Un attaquant peut provoquer un Cross Site Scripting dans
Administration Console, afin d’exécuter du code JavaScript dans le
contexte du site web. [grav:2/4 ; CVE-2013-6323, PI04777, PI04880]
Un attaquant peut envoyer des messages SSLv2 illicites vers les
applications utilisant IBM GSKit, afin de mener un déni de service
(VIGILANCE-VUL-14155 (https://vigilance.fr/arbre/1/14155?w=50517)).
[grav:2/4 ; BID-64249, CVE-2013-6329, PI05309]
Un attaquant peut utiliser Full/Liberty Profile, afin d’obtenir
des informations sensibles. [grav:2/4 ; CVE-2014-0823, PI05324]
Un attaquant peut provoquer un Cross Site Scripting dans Oauth,
afin d’exécuter du code JavaScript dans le contexte du site web.
[grav:2/4 ; CVE-2013-6738, PI05661]
Un attaquant peut utiliser l’Administrative Console, afin d’élever
ses privilèges. [grav:2/4 ; CVE-2014-0857, PI07808]
Un attaquant peut utiliser des requêtes POST, afin de mener un
déni de service. [grav:2/4 ; CVE-2014-0859, PI08892]
Un attaquant peut envoyer une requête DAV WRITE commençant par des
espaces, afin de mener un déni de service dans mod_dav de Apache
HTTP Server (VIGILANCE-VUL-14439 (https://vigilance.fr/arbre/1/14439?w=50517)).
[grav:2/4 ; CERTFR-2014-AVI-131, CVE-2013-6438, PI09345]
Un attaquant peut envoyer des messages SSL/TLS illicites vers les
applications utilisant IBM GSKit, afin de mener un déni de service
(VIGILANCE-VUL-14158 (https://vigilance.fr/arbre/1/14158?w=50517)).
[grav:2/4 ; CVE-2013-6747, PI09443]
Un attaquant peut utiliser Proxy et ODR, afin d’obtenir des
informations sensibles. [grav:1/4 ; CVE-2014-0892, PI09786]
Un attaquant peut utiliser Liberty Profile, afin d’obtenir des
informations sensibles. [grav:2/4 ; CVE-2014-0896, PI10134]
Un attaquant peut employer un entête Content-Type trop long, pour
provoquer une boucle infinie dans Apache Commons FileUpload ou
Apache Tomcat, afin de mener un déni de service
(VIGILANCE-VUL-14183). [grav:2/4 ; BID-65400, CVE-2014-0050,
PI12648, PI12926, PI13162]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/WebSphere-8-5-multiples-vulnerabilites-14684