Avis de sécurité

Une vulnérabilité a été corrigée dans Webmin. Elle concerne une injection de code indirecte à distance (XSS) dans le module de changement de mot de passe.

Deux vulnérabilités ont été corrigées dans IBM Tivoli Federated Identity Manager. L'une d'entre elles concerne l'implémentation du protocole OpenID dans le produit. Un attaquant peut modifier les attributs d'une assertion car les signatures ne sont pas vérifiées.

Une vulnérabilité critique a été corrigée dans IBM WebSphere DataPower. Elle concerne une clef de chiffrement écrite en dur dans le programme. Cette clef est transmise en clair sur le réseau si le protocole TLS n'est pas utilisé.

Une vulnérabilité critique a été corrigée dans IBM Rational. Elle permet à un attaquant d'exécuter du code arbitraire au moyen d'une police de caractères spécialement conçue. La vulnérabilité concerne le composant Java.

Une vulnérabilité a été corrigée dans libtiff. Elle concerne un débordement de mémoire tampon dans le tas du composant ppm2tiff. Un attaquant peut ainsi exécuter du code arbitraire à distance.

Deux vulnérabilités ont été corrigées dans HP Performance Insight. La plus critique permet à un attaquant de provoquer un déni de service à distance.

Deux vulnérabilités ont été corrigées dans Apple Safari 6.0.2. Certaines d'entre elles permettent à un attaquant d'exécuter du code arbitraire à distance au moyen de pages Web spécialement conçues.

De multiples vulnérabilités ont été corrigées dans Apple iOS 6.0.1. Certaines d'entre elles permettent à un attaquant d'exécuter du code arbitraire à distance au moyen de pages Web spécialement conçues. Une autre vulnérabilité permet à un attaquant de contourner la politique de sécurité du Passbook.

Trois vulnérabilités ont été corrigées dans Hitachi JP1/File Transmission Server/FTP. La première concerne le mode PASV qui peut permettre à un attaquant de scanner des ports au moyen du serveur. La deuxième provoque un débordement de mémoire tampon lors de la transmission d'un fichier. La...

Une vulnérabilité a été corrigée dans Avaya Aura Session Manager. Elle permet à un attaquant local de provoquer un déni de service au moyen d'une application spécialement conçue. Elle concerne les versions antérieures à la version 3.2.24 du noyau Linux.