Journal du Net > Solutions > Sécurité >  Failles > Failles du 15 au 29 février 2008
Failles
 
03/03/2008

IBM Lotus Notes, Symantec AntiVirus, Novell iPrint...

Revue des principales failles du 15 au 29 février 2008, avec FrSIRT. Aujourd'hui également : IBM AIX 5.x - 6.x et Symantec Veritas Storage Foundation 5.x.
  Envoyer Imprimer  

 
Logiciel touché
Niveau de danger
Description de la faille
Patch
 
 
IBM AIX 5.x - 6.x
Elevé
Plusieurs vulnérabilités ont été identifiées dans IBM AIX, elles pourraient être exploitées par des attaquants locaux afin d'obtenir des privilèges élevés ou par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Le premier problème résulte d'erreurs présentes dans le serveur X, ce qui pourrait permettre à des utilisateurs malveillants d'augmenter leurs privilèges. La seconde faille est due à une erreur présente au niveau de la libairie "/usr/ccs/lib/libc.a", ce qui pourrait permettre à des attaquants distants d'exécuter un code arbitraire.
  
 
IBM Lotus Notes 6 - 7 - 8
Peu élevé
Une vulnérabilité a été identifiée dans IBM Lotus Notes, elle pourrait être exploitée par des attaquants distants afin de contourner les mesures de sécurité et compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du mécanisme ECL (Execution Control List) qui ne valide pas correctement les signatures des applets, ce qui pourrait être exploité par un attaquant afin d'exécuter un code arbitraire avec les permissions de l'utilisateur final en incitant un premier utilisateur à transférer, à l'utilisateur final, un email malicieux contenant une applet non-signée. Cette vulnérabilité n'est exploitable qu'avec des clients configurés avec l'option "Activer les Applets Java" dans les Préférences utilisateur.
  
 
Novell iPrint Client 4.x
Très élevé
Une vulnérabilité a été identifiée dans Novell iPrint Client, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire présente au niveau du contrôleur ActiveX "ienipp.ocx" qui ne gère pas correctement une méthode "ExecuteRequest()" excessivement longue, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.
  
 
Symantec AntiVirus
Très élevé
Plusieurs vulnérabilités ont été identifiées dans plusieurs produits Symantec, elles pourraient être exploitées par des attaquants ou des vers afin de causer un déni de service ou compromettre un système vulnérable. Ces failles résultent de boucles infinies et débordements de mémoire présents au niveau du moteur de décomposition qui ne gère pas correctement des archives RAR malformées, ce qui pourrait être exploité afin d'altérer le fonctionnement d'une application vulnérable ou afin d'exécuter un code arbitraire.
  
 
Symantec Veritas Storage Foundation 5.x
Très élevé

Plusieurs vulnérabilités ont été identifiées dans Symantec Veritas Storage Foundation, elles pourraient être exploitées par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Le premier problème résulte d'un débordement de mémoire présent au niveau du service d'administration (vxsvc.exe) qui ne gère pas correctement des paquets malformées envoyés vers le port 3207/UDP, ce qui pourrait être exploité par des attaquants non-authentifiés afin d'altérer le fonctionnement d'un service vulnérable ou afin d'exécuter un code arbitraire distant avec des privilèges élevés. La seconde vulnérabilité est due à une erreur d'accès à la mémoire présente au niveau du service de planification (VxSchedService.exe) pendant le traitement de certains paquets malformés envoyés vers le port 4888/TCP, ce qui pourrait être exploité par des attaquants distants afin d'altérer le fonctionnement d'un service vulnérable.

  

 

 
SOMMAIRE
 
  Février 2008  
  15/02 Microsoft IIS, Symantec Backup Exec, Clam AntiVirus, Adobe Reader, Facebook Photo Uploader, Microsoft Internet Explorer 5.x - 6.x - 7.x.  
  01/02 IBM AIX, HP Virtual Rooms, Toshiba Surveillix, IBM Informix Dynamic Server et IBM WebSphere Business Modeler.  
  Janvier 2008  
  18/01 Microsoft Excel (Mac), Cisco VPN Client, Apple QuickTime, McAfee E-Business Server et Microsoft Windows 2000 / XP 2003 / Vista.  
  04/01 IBM Lotus, Apple Mac OS X, Adobe Flash Player, Opera 9 et RealPlayer 11.  
  Décembre 2007  
  17/12 Windows Vista, Skype 3, OpenOffice 2, Apple QuickTime, Microsoft DirectX, et Microsoft Internet Explorer 5 - 6 et 7.  
  04/12 BitDefender Online, Apple Leopard, Mozilla Firefox 2, Apple QuickTime et Symantec Backup Exec pour Serveurs Windows.  

 

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Recourir à un service cloud comme unique solution de stockage de fichiers, vous y croyez ?

Tous les sondages