Avis de sécurité

Une vulnérabilité due à une erreur de configuration a été corrigée dans les produits F5 BIG-IP et F5 Entreprise Manager. Cette vulnérabilité permet à un attaquant non-authentifié de se connecter à un système vulnérable en tant que root en utilisant SSH.

De multiples vulnérabilités ont été corrigées dans Adobe Flash Player et Adobe AIR. Celles-ci peuvent être exploitées par un attaquant pour effectuer un déni de service à distance ou exécuter du code arbitraire à distance.

Une vulnérabilité de la fonction crypt() utilisée dans Check Point IPSO a été corrigée.

Deux vulnérabilités ont été corrigées dans PostgreSQL. Leur exploitation permet notamment de réaliser un déni de service (CVE-2012-2655) ou de contourner la politique de sécurité (CVE-2012-2143).

Le démon kadmind de MIT Kerberos présente une vulnérabilité qui permet de réaliser un déni de service à distance.

Le gestionnaire de statistiques de sites web Piwik présentaient des vulnérabilités qui permettaient de réaliser de l'injection de code indirecte (XSS), des insertions de fichiers locaux (LFI), des dénis de service à distance et d'exécuter des commandes à distance sans vérification suffisante.

Plusieurs vulnérabilités ont été corrigées pour les produits Mozilla. Leur exploitation permet notamment l'exécution de code arbitraire à distance.

Deux vulnérabilités permettant à une personne malintentionnée d'effectuer des injections SQL ont été corrigées dans Ruby on Rails.

Une vulnérabilité a été corrigée dans BIND. Certains enregistrements de longueur nulle ne sont pas correctement traités par le serveur DNS. Cette vulnérabilité permet de provoquer un déni de service, ou de porter atteinte à l'intégrité ou à la confidentialité des données.

Le magasin de certificats de Microsoft Windows a été mis à jour pour révoquer des certificats intermédiaires utilisés frauduleusement pour signer des codes malveillants, notamment par le logiciel malveillant « Flame » .