Avis de sécurité

Trois vulnérabilités ont été corrigées dans Asterisk. La première permet à un utilisateur authentifié sur Asterisk Manager de contourner des contrôles de sécurité pour exécuter des commandes arbitraires. La seconde affecte le processus de gestion des événements KEYPAD_BUTTON_MESSAGE en queue dans...

Trois vulnérabilités ont été corrigées dans WordPress. Les vulnérabilités affectent les modules Plupload, SWFUpload et SWFObject. Deux d'entre elles sont des « injection de code indirecte à distance » (XSS) et la dernière permet une élévation de privilèges limitée.

Plusieurs vulnérabilités ont été corrigées dans SPIP. Elles sont majoritairement de type « injection de code indirecte à distance » (XSS) mais aucune précision n'a été donnée par l'éditeur.

Une vulnérabilité a été corrigée dans l'ActiveX IBM ClearQuest. La vulnérabilité affecte une fonction OLE de l'ActiveX et peut être exploitée pour exécuter du code arbitraire à distance.

De multiples vulnérabilités ont été corrigées dans le module Apache de HP-UX. Elles permettent à un utilisateur malintentionné de porter atteinte à la confidentialité des données, causer un déni de service et d'élever ses privilèges. La liste ci-dessous fournit le détail de ces vulnérabilités : -...

Une vulnérabilité a été corrigée dans OpenSSL. Elle affecte la fonction « asn1_d2i_read_bio » qui n'est pas obligatoirement utilisée lors des communications SSL/TLS. Toutes les applications basées sur les fonctions BIO ou FILE pour lire un format DER non fiable sont vulnérables.

Des vulnérabilités ont été corrigées dans Xoops. Elles concernent des injections de code indirectes à distance via le module PM et tinymce. De plus, plusieurs bibliothèques sont mises à jour dans la version 2.5.5 de Xoops.

Une vulnérabilité a été corrigée dans Apache. La vulnérabilité affecte LD_LIBRARY_PATH et peut autoriser des recherches depuis les objets dynamiques partagés (DSO) dans le répertoire utilisé par Apache. Cette vulnérabilité ne peut être utilisée que par un utilisateur local.

Une vulnérabilité a été corrigée dans HP Onboard Administrator. Son exploitation permet la réalisation d'un déni de service à distance.

Quatre-vingt huit vulnérabilités critiques ont été corrigées par Oracle. L'exploitation des vulnérabilités peut mener à une « exécution de code arbitraire à distance ». Une seule vulnérabilité est accessible en local, les autres peuvent être exploitées depuis le réseau. Le CERTA recommande de...