Logiciel
touché (par ordre alphabétique)
|
Niveau
de danger
|
Description
de la faille
|
Patch
et/ou informations
|
Linux
2.2
et 2.4
|
Elevé
|
Le noyau (kernel) de Linux présente une
faille qui permet à un utilisateur local
d'obtenir tous les privilèges. Une exploitation
à distance de cette faille n'est pas possible.
Red Hat a publié des patchs
correspondant à cette faille pour ses versions
7.1, 7.2, 7.3, et 8.0.
|
|
Microsoft
IIS Web Server 5.0 sur Windows 2000
|
Elevé
|
Une faille du type "buffer overflow"
est exploitable au niveau de Windows 2000 WebDAV
(Web Distributed Authoring and Versioning), composant
du logiciel IIS Web Server. Contrairement à
notre brève
du 19 mars dernier, l'US Army dément avoir
fait l'objet d'une attaque sur l'un de ses serveurs.
|
Lien
|
Microsoft
Windows toutes versions
|
Très
élevé
|
Le
moteur de scripts utilisé par le système
d'exploitation Windows pour automatiser certaines
tâches est ici visé. Une faille du
type "buffer overflow" est exploitable
à ce niveau par l'intermédiare d'une
page web ou d'un mail au format HTML, pouvant
permettre à un pirate de prendre la main
à distance sur un programme ou sur l'ordinateur.
A noter que les navigateurs Internet Explorer
qui ont été désactivés
pour l'exécution de scripts ne sont pas
concernés.
|
|
Peoplesoft
PeopleTools de 8.10 à 8.18, 8.40, 8.41
|
Très
Elevé
|
La
faille permet à un pirate de créer
ou d'écraser des fichiers du système
grâce à une vulnérabilité
dans le servlet "SchedulerTransfer"
installé par défaut, menaçant
au final le PeopleSoft Web Server. Le servlet
en question permet de transférer des rapports
d'activité entre serveurs utilisant les
protocoles internet - comme HTTP - et ce, sans
authentification. Des données confidentielles
peuvent donc être piratées.
|
|
Samba
|
Moyen
|
La
suite logicielle permettant à la majorité des
Unix (et en particulier Linux) de s'intégrer à
un réseau Microsoft en tant que client et serveur
présente une faille de type "buffer
overflow". Debian, Gentoo et SuSE ont déjà
diffusé un patch. Apple prévoit
de la faire pour la version 10.2.4 de Mac OS X.
Red Hat n'a rien publié pour le moment.
|
|
Logiciel
touché (par
ordre alphabétique)
|
Niveau
de danger
|
Description
de la faille
|
Patch
et/ou informations
|