Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance
Systèmes affectés
- Helix Mobile Server version 14.x.
- Helix Server version 14.x ;
Résumé
De multiples vulnérabilités ont été corrigées dans RealNetworks Helix server. Une concerne le stockage en clair des mots de passe sur disque. Deux autres permettent de provoquer un déni de service sur le service SNMP Manager Agent. Une vulnérabilité de type « débordement de tampon » affecte le traitement des identifiants et peut conduire à une exécution de code arbitraire à distance. La version 14.2.0.212 est affectée par une injection de code indirecte à distance (XSS). Enfin, le traitement d'URL spécialement formatées peut mener à un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité RealNetworks Helix 04022012 du 02 avril 2012 : http://helixproducts.real.com/docs/security/SecurityUpdate04022012HS.pdf
- Référence CVE CVE-2012-0942 https://www.cve.org/CVERecord?id=CVE-2012-0942
- Référence CVE CVE-2012-1923 https://www.cve.org/CVERecord?id=CVE-2012-1923
- Référence CVE CVE-2012-1984 https://www.cve.org/CVERecord?id=CVE-2012-1984
- Référence CVE CVE-2012-1985 https://www.cve.org/CVERecord?id=CVE-2012-1985
