19/11/2007
Oracle Database 10g, IBM Informix Dynamic Server,
Mozilla Firefox 2...
|
Revue des principales failles du 6 au 16 novembre, avec FrSIRT. Aujourd'hui également : Apple QuickTime, AOL Radio AmpX et Cisco Unified MeetingPlace. |
|
Logiciel touché
|
Niveau de danger
|
Description de la faille
|
Patch
|
|
|
AOL Radio AmpX 2.x
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans le contrôleur
Active AOL Radio AmpX, elles pourraient être exploitées par des attaquants distants
afin de compromettre un système vulnérable. Ces failles sont dues à des débordements
de tampon présents au niveau du module "AmpX.dll" qui ne gère pas correctement
certaines propriétés et méthodes malformées, ce qui pourrait être exploité par
des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur
à visiter une page web spécialement conçue.
|
|
|
|
Apple QuickTime 7.x
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans Apple QuickTime,
elles pourraient être exploitées par des attaquants distants afin de compromettre
un système vulnérable. Ces failles résultent de débordement de tampon et d'entier
présents au niveau du traitement d'images, applets ou fichiers malformés, ce qui
pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires
en incitant un utilisateur à visiter une page web malicieuse.
|
|
|
|
Cisco Unified MeetingPlace 5.x - 6.x
|
Peu élevé
|
lusieurs vulnérabilités ont été identifiées dans Cisco Unified
MeetingPlace, elles pourraient être exploitées afin de conduire des attaques par
cross site scripting. Ces problèmes résultent d'erreurs présentes au niveau du
traitement des paramètres "FirstName" et "LastName", ce qui pourrait être exploité
afin d'injecter un code HTML/Javascript malicieux coté client.
|
|
|
|
IBM Informix Dynamic Server 10
|
Elevé
|
Plusieurs vulnérabilités ont été identifiées dans Informix Dynamic
Server, elles pourraient être exploitées par des attaquants afin d'obtenir des
informations sensibles ou causer un déni de service. Le premier problème résulte
d'une erreur de traversée de répertoire présente au niveau du traitement de la
variable d'environnement DBLANG, ce qui pourrait être exploité par des utilisateurs
malveillants afin d'accéder à des données sensibles. La seconde vulnérabilité
est due à une erreur présente au niveau du traitement de certaines requêtes "SQ_ONASSIST",
ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement
d'un serveur vulnérable.
|
|
|
|
Mozilla Firefox 2.x
|
Elevé
|
Une vulnérabilité a été identifiée dans Mozilla Firefox, elle
pourrait être exploitée afin de conduire des attaques par cross site scripting.
Ce problème résulte d'une erreur de validation d'entrées et d'origine présente
au niveau du gestionnaire de protocole "jar", ce qui pourrait être exploité par
des attaquants afin d'injecter un code HTML/Javascript malicieux coté client dans
le contexte d'un site arbitraire en incitant un utilisateur à suivre un lien malicieux.
|
|
|
|
Oracle Database 10g
|
Elevé
|
Une vulnérabilité a été identifiée dans Oracle Database, elle
pourrait être exploitée par des utilisateurs malveillants afin de causer un déni
de service. Ce problème résulte d'un débordement de tampon présent au niveau de
la procédure "XDB_PITRIG_PKG PITRIG_DROPMETADATA" qui ne gère pas correctement
des arguments malformées, ce qui pourrait être exploité par des attaquants authentifiés
afin d'exécuter un code arbitraire avec les privilèges de la base de données.
|
|
|
|
SOMMAIRE
|
|
|
Novembre 2007 |
|
|
06/11 |
IBM Lotus Notes, McAfee e-Business Server, Sun Java, Novell BorderManagern,
RealPlayer et Sun Java JDK-JRE-SDK. |
|
|
Octobre 2007 |
|
|
22/10 |
Windows Vista, Adobe Acrobat, Cisco IOS, Kaspersky Online Scanner
et Microsoft Windows 2000 / XP / 2003. |
|
|
08/10 |
Cisco Catalyst, Sun Solaris, IBM Rational ClearQuest, CA BrightStor
et Sun JDK JRE et SDK. |
|
|
Septembre 2007 |
|
|
22/09 |
OpenOffice.org 2, Microsoft Windows XP, Cisco IOS 12, Adobe Connect
Enterprise Server 6, Media Player Classic et Mozilla Firefox 2. |
|
|
11/09 |
Cisco CallManager, Oracle JInitiator, Microsoft MSN Messenger,
Apple iTunes et Yahoo! Messenger. |
|
|
Août 2007 |
|
|
28/08 |
Windows Vista, Norton AntiVirus 2006, Trend Micro ServerProtect,
Microsoft Windows 2000 - XP - 2003 et Opera 9. |
|
|