08/10/2007
Cisco Catalyst, Sun Solaris, IBM Rational ClearQuest...
|
Revue des principales
failles du 22 septembre au 8 octobre, avec FrSIRT. Aujourd'hui également : CA
BrightStor et Sun JDK JRE et SDK. |
|
Logiciel touché
|
Niveau de danger
|
Description de la faille
|
Patch
|
|
|
CA BrightStor Hierarchical Storage Manager r11.5
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans CA BrightStor
Hierarchical Storage Manager, elles pourraient être exploitées par des attaquants
distants afin de compromettre un système vulnérable. Le premier problème résulte
de débordements de tampon présents au niveau du service CsAgent, ce qui pourrait
être exploité par des attaquants afin d'altérer le fonctionnement d'une application
vulnérable ou afin d'exécuter des commandes arbitraires distantes avec des privilèges
élevés. La seconde faille est due à débordements d'entier présents au niveau du
service CsAgent, ce qui pourrait être exploité par des attaquants afin d'altérer
le fonctionnement d'une application vulnérable ou afin d'exécuter des commandes
arbitraires distantes avec des privilèges élevés. La dernière vulnérabilité résulte
d'erreurs de validation d'entrées présentes au niveau du service CsAgent, ce qui
pourrait être exploité afin de conduire des attaques par injection SQL.
|
|
|
|
Cisco Catalyst 6500 Cisco 7600
|
Peu élevé
|
Une faiblesse a été identifiée dans Cisco Catalyst 6500 et Cisco
7600, elle pourrait être exploitée par des attaquants afin de contourner les mesures
de sécurité. Ce problème résulte d'une erreur de conception présente au niveau
du traitement des paquets destinés au réseau 127.0.0.0/8, ce qui pourrait être
exploité par des attaquants authentifiés afin de contourner les listes de contrôle
d'accès pour un système en mode hybride ou natif.
|
|
|
|
IBM Rational ClearQuest 7.x
|
Peu élevé
|
Une vulnérabilité a été identifiée dans IBM Rational ClearQuest,
elle pourrait être exploitée par des utilisateurs malveillants afin de contourner
les mesures de sécurité et causer un déni de service. Ce problème résulte d'une
erreur inconnue pouvant permettre à un utilisateur malveillant de corrompre certaines
données. Aucun détail technique n'a été révélé.
|
|
|
|
Sun Solaris 8 - 9 - 10
|
Peu élevé
|
Une vulnérabilité a été identifiée dans Sun Solaris, elle pourrait
être exploitée par des utilisateurs malveillants afin d'obtenir des informations
sensibles. Ce problème résulte d'une erreur inconnue présente au niveau du tube
nommé (named pipe), ce qui pourrait permettre à un attaquant local d'accéder en
lecture à des données arbitraires de la mémoire. Aucun détail technique n'a été
révélé.
|
|
|
|
Sun JDK JRE et SDK
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans Sun JRE, JDK
et SDK, elles pourraient être exploitées par des attaquants afin de contourner
les mesures de sécurité, obtenir des informations sensibles ou compromettre un
système vulnérable. Le premier problème résulte d'une erreur inconnue pouvant
permettre à des applications Java Web Start ou à des applets de déplacer ou copier
des fichiers au sein d'un système vulnérable en incitant un utilisateur à glisser
un fichier depuis l'application ou l'applet vers une application locale. La seconde
vulnérabilité est due à des erreurs présentes dans Java Web Start, ce qui pourrait
être exploité par des applications malicieuses afin de déterminer le chemin vers
le cache JWS et accéder en lecture et écriture à des fichiers arbitraires. La
dernière faille est due à des erreurs inconnues pouvant être exploitées par des
pages web malicieuses afin d'établir des connexions vers des systèmes distants
via le système vulnérable.
|
|
|
|
SOMMAIRE
|
|
|
Septembre 2007 |
|
|
22/09 |
OpenOffice.org 2, Microsoft Windows XP, Cisco IOS 12, Adobe Connect
Enterprise Server 6, Media Player Classic et Mozilla Firefox 2. |
|
|
11/09 |
Cisco CallManager, Oracle JInitiator, Microsoft MSN Messenger,
Apple iTunes et Yahoo! Messenger. |
|
|
Août 2007 |
|
|
28/08 |
Windows Vista, Norton AntiVirus 2006, Trend Micro ServerProtect,
Microsoft Windows 2000 - XP - 2003 et Opera 9. |
|
|
Juillet 2007 |
|
|
23/07 |
Adobe Flash, Microsoft Windows 2000, Opera 9, Microsoft Excel
2000 à 2007, Sun JRE 1 et Windows 2003. |
|
|
09/07 |
Apple Mac OS X, Trend Micro OfficeScan, HP Instant Support, Apple
Safari 3 pour Windows et RealPlayer 10. |
|
|