Avis de sécurité

De multiples vulnérabilités ont été corrigées dans RealNetworks Helix server. Une concerne le stockage en clair des mots de passe sur disque. Deux autres permettent de provoquer un déni de service sur le service SNMP Manager Agent. Une vulnérabilité de type « débordement de tampon » affecte le...

Deux vulnérabilités ont été corrigées par MySQL. Aucune information n'a été communiqué sur le type de vulnérabilité ou les modules affectés.

Douze vulnérabilités ont été corrigées dans Google Chrome. Trois types de vulnérabilités sont présents. Le premier est une utilisation de données après la libération de l'espace mémoire (use after free), il concerne huit des vulnérabilités. Le deuxième permet de lire des données dans une zone non...

Une vulnérabilité a été corrigée dans Juniper Secure Access IVE. La vulnérabilité est une injection de code indirecte à distance (XSS) sur l'interface de gestion.

Une vulnérabilité a été corrigée dans le produit F5 FirePass. Cette vulnérabilité est de type « injection SQL » et est accessible à distance sans authentification. Il est à noter que la base MySQL est exécutée avec les droits root et que les accès FILE sont activés.

Une vulnérabilité a été découverte dans HP Business Availability Center. Cette vulnérabilité est de type « injection de code indirecte à distance » (Cross-site scripting).

Trois vulnérabilités de type buffer overflow ont été corrigées dans le lecteur Cisco WebEx Recording Format (WRF). Dans certains cas, l'exploitation de ces vulnérabilités permettent à un attaquant d'exécuter du code arbitraire à distance.

Une vulnérabilité a été corrigée dans la bibliothèque TIFF. La vulnérabilité est un « débordement d'entier » dans l'entrée « TileSize ». L'exploitation de cette faille via une image corrompue peut mener à une exécution de code arbitraire.

Une vulnérabilité a été corrigée dans FreeRADIUS. La vulnérabilité concerne la fonction « ocsp_check » de « rlm_eap_tls.c ». L'exploitation de cette faille permet de contourner l'authentification en utilisant le protocole EAP-TLS avec un certificat client X.509 révoqué.

Deux vulnérabilités ont été corrigées dans curl. La première concerne une vulnérabilité liée à OpenSSL et l'utilisation de SSL_OP_ALL. La seconde affecte le traitement des URL.