Sécurité
Revue des principales failles logicielles depuis début janvier 2003
Le système de gestion des versions du code d'une grande partie des projets opensource, mais aussi Oracle 9i et les systèmes d'exploitation de Microsoft, ainsi qu'Internet Explorer, sont les principaux outils dans lesquels des vulnérabilités ont été détectées. (Mercredi 20 février 2002)
     
En savoir plus
Périodiquement, JDNet Solutions relève les alertes marquantes de sécurité informatique, en précisant leur niveau de gravité, et en vous aiguillant vers le correctif quand celui-ci est disponible.
- Revue des failles précédentes -

Logiciel touché (par ordre alphabétique)
Niveau de danger
Description de la faille
Patch et/ou informations
BEA Weblogic Server 7.0
Moyen
Dans certains cas de figure, le serveur d'applications produit une "ResourceAllocationException" qui peut inclure le mot de passe du système, lequel devient donc potentiellement accessible de l'extérieur.
CVS
Très élevé
Une vulnérabilité dans le Concurrent Versions System (CVS) pourrait potentiellement permettre l'exécution d'un code arbitraire à distance sur un système vulnérable, ou bien une attaque en déni de service (DoS).
La vulnérabilité, qui concerne une mauvaise configuration de l'outil entraînant la possibilité d'outrepasser les droits d'accès en lecture seule, est d'autant plus critique que CVS est utilisé par une très grande proportion de projets opensource, au moins plusieurs dizaines de milliers.
DHCP
Elevé
l'Internet Software Consortium (ISC) a dévoilé plusieurs failles du type "buffer overflow", soit une gestion incorrecte de la mémoire, dans leur implémentation du Dynamic Host Configuration Protocol (ISC DHCPD). Ces vulnérabilités permettent potentiellement l'exécution d'un code arbitraire à distance sur un système vulnérable.
Les versions 3.0pl2 & 3.0.1RC11 d'ISC DHCPD sont concernées.
Microsoft Internet Explorer
Moyen
la fonction showHelp() permet potentiellement d'accéder en lecture à certains fichiers d'un système vulnérable, voire de compromettre celui-ci si IE est lancé avec les droits d'administrateur.
Un patch a été publié, mais celui-ci se contente de désactiver la fonction incriminée.
Pour en retrouver l'usage, il est nécessaire d'installer la dernière version d'HTML Help.
Microsoft Windows NT 4.0, 2000 & XP
Elevé
Un "buffer overflow" touchant le service Microsoft Locator pourrait permettre l'exécution d'un code arbitraire à distance sur un système vulnérable. Le service incriminé est présent sur Windows NT 4.0, Windows 2000 et Windows XP, mais n'est actif par défaut que sur les contrôleurs de domaines Windows NT 4.0 et 2000.

A noter que Microsoft s'est distingué en janvier avec l'exploitation par le ver Sapphire d'une faille dans le système de gestion de bases de données SQL Server 2000 , mais dont un patch (Service Pack 3) était déjà disponible avant l'attaque.
Par ailleurs, d'autres failles plus mineures ont été révélées dans Content Management Server 2001 et Outlook 2002 (concernant les certificats V1 Exchange Server Security). Plus d'informations
Oracle 9i
Elevé
Pas moins de six "patches" corrigeant des vulnérabilités (quatre "critiques" et deux "sérieuses") ont été mis à disposition la semaine dernière. Les failles critiques concernent divers composants du système de gestion de bases de données Oracle, y compris la dernière version (Oracle 9i Release 2): il s'agit de "buffer overflows" qui pourraient permettre à un pirate d'obtenir un accès complet à une base de données vulnérable
Les deux autres failles touchent notamment le serveur d'application 9iAS et pourraient être utilisées pour lancer une attaque en déni de service (DoS).
Les six failles ont été dévoilées et corrigées séparément, plutôt que dans un bulletin groupé.
PHP 4.3.0

Moyen

L'option de configuration "--enable-force-cgi-redirect" et l'option équivalente du fichier php.ini "cgi.force_redirect" sont sans effet dans la version 4.3.0 de PHP, suite à un bogue.
En conséquence, il devient possible d'avoir accès à des fichiers situés sur la machine sur laquelle tourne un serveur web employant le module CGI de PHP 4.3.0, mais également d'exécuter, dans certains cas, du code PHP arbitraire sur le serveur en question.
Le PHP Group a réagi en rendant disponible une nouvelle version du langage, la 4.3.1, qui corrige cette vulnérabilité.
Logiciel touché (par ordre alphabétique)
Niveau de danger
Description de la faille
Patch et/ou informations
[Rédaction, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY