La revue des failles du 22 décembre 2009 au 13 janvier 2010

Revue des principales failles du 22 décembre 2009 au 13 janvier 2010, avec VUPEN Security. Aujourd'hui : Adobe Flash Media Server 3.x, Intel Chipsets, Microsoft IIS 6.0, Novell iManager 2.x et Sun Java System Directory Server Enterprise.

Adobe Flash Media Server 3.x

Niveau de danger : Critique

Description de la faille : Deux vulnérabilités ont été identifiées dans Adobe Flash Media Server, elles pourraient être exploitées par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Le premier problème résulte d'une erreur de traversée de répertoire inconnue pouvant permettre à un attaquant de charger une DLL présente au sein du serveur. La seconde faille est due à une erreur inconnue pouvant permettre à un attaquant d'altérer le fonctionnement d'un serveur vulnérable.

Patch et/ou information : Lien

Intel Chipsets

Niveau de danger : Modéré

Description de la faille : Une vulnérabilité a été identifiée dans différents produits Intel, elle pourrait être exploitée par des attaquants locaux afin de contourner les mesures de sécurité et obtenir des privilèges élevés. Ce problème résulte d'une erreur de configuration liée à SINIT Authenticated Code Module (ACM), ce qui pourrait permettre à un utilisateur malveillant de passer outre la technologie Intel TET (Trusted Execution Technology) et d'obtenir des privilèges élevés.

Patch et/ou information : Lien

Microsoft IIS 6.0

Niveau de danger : Modéré

Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Internet Information Services (IIS), elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Cette faille est due à l'interprétation de fichiers ayant plusieurs extensions séparées par le caractère ";" e.g. "malicious.asp;.jpg" comme étant des fichiers ASP, ce qui pourrait permettre à un attaquant de charger un fichier malicieux et d'exécuter un code arbitraire en contournant les restrictions et protections basées sur les extensions.

Patch et/ou information : Lien

Novell iManager 2.x

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Novell iManager, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du plugin eDirectory qui ne gère pas correctement l'import et l'export de certaines données de schéma, ce qui pourrait permettre l'exécution d'un code arbitraire.

Patch et/ou information : Lien

Sun Java System Directory Server Enterprise

Niveau de danger : Modéré

Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Sun Java System Directory Server, elles pourraient être exploitées par des attaquants afin de causer un déni de service ou contourner les mesures de sécurisé. Ces failles résultent d'erreurs présentes dans Directory Proxy Server qui ne valide pas certaines données et requêtes, ce qui pourrait provoquer l'exécution d'une opération avec les privilèges d'un autre client, provoquer l'arrêt du serveur, ou empêcher l'envoi des résultats vers d'autres clients "psearch".

Patch et/ou information : Lien