|
|
|
FAILLES |
|
|
|
IBM DB2, Trend Micro ServerProtect, Cisco Unified IP Phone... |
Revue des principales failles du 19 février au 5 mars 2007, avec FrSIRT. Aujourd'hui également : CA eTrust Intrusion Detection, Citrix Presentation Server Client, VeriSign ConfigChk ActiveX...
05/03/2007 |
|
Logiciel touché
(par ordre alphabétique)
|
Niveau de danger
|
Description de la faille
|
Patch et/ou informations
|
IBM DB2
|
Peu
élevé
|
Une vulnérabilité a été identifiée
dans IBM DB2, elle pourrait être exploitée par des utilisateurs malveillants afin
de contourner les mesures de sécurité. Ce problème résulte d'une erreur présente
au niveau de la validation des permissions, ce qui pourrait être exploité par
des attaquants avec des privilèges SELECT afin d'exécuter des requêtes "UPDATE"
ou "DELETE" sans avoir les autorisations nécessaires.
|
|
CA eTrust
Intrusion Detection
2.x - 3.x
|
Elevé
|
Une vulnérabilité a été identifiée
dans CA eTrust Intrusion Detection, elle pourrait être exploitée par des attaquants
distants afin de causer un déni de service. Ce problème résulte d'une erreur présente
au niveau de la procédure d'authentification qui ne valide pas correctement la
longueur des clés, ce qui pourrait être exploité afin d'altérer le fonctionnement
d'une application vulnérable en envoyant une requête spécialement conçue vers
le port 9191/TCP.
|
|
Cisco Unified IP Phone
|
Elevé
|
Une vulnérabilité a été identifiée
dans Cisco Unified IP Phone, elle pourrait être exploitée par des attaquants afin
de compromettre un système vulnérable. Ce problème résulte d'une erreur de conception
où un compte de maintenance avec un mot de passe connu est installé par défaut,
ce qui pourrait être exploité afin d'accéder à un périphérique vulnérable (via
le serveur SSH ou via le port série) et exécuter certaines commandes internes.
|
|
Citrix Presentation Server
Client pour Windows
|
Très
élevé
|
Une vulnérabilité a été identifiée
dans Citrix Presentation Server Client pour Windows, elle pourrait être exploitée
par des attaquants distants afin de compromettre un système vulnérable. Ce problème
résulte d'une erreur de conception présente au niveau du module de gestion des
connexions par proxy, ce qui pourrait être exploité afin d'exécuter des commandes
arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.
|
|
Trend Micro ServerProtect
|
Très
élevé
|
Plusieurs vulnérabilités ont été
identifiées dans Trend Micro ServerProtect, elles pourraient être exploitées par
des attaquants distants afin de compromettre un système vulnérable. Ces failles
sont dues à des débordements de tampon présents aux niveaux des librairies "StCommon.dll"
et "eng50.dll" qui ne gèrent pas correctement certaines requêtes RPC
malformées, ce qui pourrait être exploité par des attaquants non-authentifiés
afin d'exécuter des commandes arbitraires distantes.
|
|
VeriSign ConfigChk ActiveX
Control 2.x
|
Très
élevé
|
Une vulnérabilité a été identifiée
dans le contrôleur ActiveX VeriSign ConfigChk, elle pourrait être exploitée par
des attaquants distants afin de compromettre un système vulnérable. Ce problème
résulte d'un débordement de tampon présent au niveau du module "VSCnfChk.dll"
qui ne gère pas correctement une méthode "VerCompare()" malformée, ce
qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires
en incitant un utilisateur à visiter une page web spécialement conçue.
|
|
SOMMAIRE |
Février 2007 |
|
Cisco Firewall, Internet Explorer
7, Trend Micro Antivirus,Windows XP SP2, Microsoft Step-by-Step, uTorrent, Internet
Explorer 5 - 6 - 7. |
|
Cisco IOS, Microsoft Word 2000, Sun
Solaris, CA BrightStor ARCserve Backup. |
Janvier 2007 |
|
Cisco Secure Access, Adobe Reader,
Internet Explorer 7, Apple Mac OS X, Internet Explorer 5 et 6, Microsoft Excel
2000 - 2002 - 2003, Sun JDK et JRE. |
|
Apple Mac OS X, Windows Vista, OpenOffice.org,
Apple QuickTime, Microsoft Windows 2000 - 2003 - XP, Novell NetMail. |
Décembre |
|
Microsoft Word, Sophos Anti-Virus,
Adobe Manager, CA BrightStor Backup, Internet Explorer, Windows Media Player,
Microsoft Word 2000 - 2002 - 2003. |
|
JBoss Application, Apple Mac OS X,
CA BrightStor, KOffice, NetGear WG311v1. |
|
|
|