|
Logiciel
touché (par ordre alphabétique)
|
Niveau
de danger
|
Description
de la faille
|
Patch
et/ou informations
|
|
Cisco
VPN 3000 Series concentrator et VPN 3002 Hardware Client
|
Elevé
|
Le fait d'activer
IPSec par TCP sur un port du VPN 3000 Series Concentrator permet
à du trafic TCP sur ce port de traverser le concentrateur
et d'atteindre le réseau privé. Par ailleurs, l'envoi
d'un paquet de données d'initilisation SSH pendant la session
initiale peut provoquer le redémarrage du concentrateur,
ce qui peut être le point de départ d'un déni
de service. La mise à jour des dernières versions
Cisco VPN 3000 series concentrators et Cisco VPN 3002 Hardware Client,
versions 4.0.1 et 3.6.7F permet de s'en prémunir.
|
|
|
ICQ
pro d'AOL version 2003
|
Elevé
|
Six
failles de sécurité ont été découvertes
dans le client de messagerie instantanée proposé par
la filiale d'AOL, Mirabilis. La société Core Security
a en effet mis en avant des faiblesses dans plusieurs composants,
dont les fonctionnalités de réception d'email, d'affichage
de bannières publicitaires et d'images au format gif, ainsi
que celles servant aux mises à jour du produit. Ces failles
permettent l'exécution de code malicieux à distance
et le vol de données, par dépassement de buffer. La
version gratuite Lite n'est pas concernée. |
|
|
Microsoft
Internet Explorer 5.01, 5.5 et 6.0
|
Très élevé
|
Quatre
nouvelles failles ont été découvertes dans
le navigateur. Un dépassement de buffer peut être provoqué
via le fichier URLMON.DLL, car le logiciel ne vérifie
pas correctement les informations reçues depuis un serveur
Web. Mêmes risques en ce qui concerne le système de
contrôle des "uploads" et des fichiers de tierce
partie.
|
|
|
Microsoft
Outlook Express 5.5 et 6.0
|
Très élevé
|
En faisant en sorte
que Windows ouvre une URL MHTML (MIME Encapsulation of Aggregate
HTML) spécifique, présente sur un site web ou contenue
dans un mail au format HTML, un pirate peut faire exécuter
un code malveillant au format texte et prendre le contrôle
d'une machine, profitant du fait que la zone locale de sécurité
de l'ordinateur, qui exploite les documents censés appartenir
à l'utilisateur, est soumise à moins de restrictions
que d'autres zones de sécurité du système.
|
|
|
Oracle 9i versions 1 et 2, Oracle 8
et 8i toutes versions, 7.3.x
|
Très élevé
|
Le serveur de bases
de données est vulnérable à un dépassement
de buffer par le biais de commandes "link" servant aux
échanges entre serveurs. En lançant une requête
"Create Database Link", un pirate peut exécuter
n'importe quel code malveillant et prendre possession d'informations
confidentielles. Il lui faut cependant être connecté
au réseau local (ce qui lui donne accès à l'ensemble
du serveur) et avoir un compte ou, avoir accès au serveur
par Internet.
|
|
|
Logiciel
touché (par
ordre alphabétique)
|
Niveau
de danger
|
Description
de la faille
|
Patch
et/ou informations
|