Avis de sécurité

Une vulnérabilité a été corrigée dans Cisco Application Control Engine. Un utilisateur privilégié peut se connecter à un contexte non prévu quand l'application est utilisée en mode « multicontext ».

Quatre vulnérabilités ont été corrigées dans Cisco AnyConnect Secure Mobility Client. Deux concernent une exécution de code arbitraire à distance et les deux autres provoquent une régression du système vers une version antérieure.

Deux vulnérabilités ont été corrigées dans Joomla!. La première permet une élévation de privilèges. La seconde permet de dévoiler des informations au moyen d'erreurs SQL.

Deux vulnérabilités de type débordement d'entier ont été corrigées dans Libtiff.

Une vulnérabilité a été corrigée dans IBM Lotus Notes. Elle concerne une injection de commandes à distance pouvant mener à une exécution de code arbitraire.

Deux vulnérabilités ont été corrigées dans PHP. La première (CVE-2012-2143) permet à un attaquant de contourner la politique de sécurité (se référer à l'avis CERTA-2012-AVI-310). La seconde (CVE-2012-2386) permet à un attaquant d'exécuter du code arbitraire à distance via un débordement de tampon...

Une vulnérabilité dans la fonction nsHTMLSelectElement permet à un attaquant d'exécuter du code arbitraire à distance.

Une vulnérabilité a été corrigée dans Symantec LiveUpdate. Un défaut de configuration des permissions sur des fichiers permet à un attaquant, s'il est authentifié, d'élever ses droits sur le serveur.

Cinq vulnérabilités ont été corrigées dans Opera. Deux peuvent mener à une falsification de l'URL, une permet d'accéder à des données JSON sensibles. Les deux dernières requièrent une interaction avec l'utilisateur et peuvent mener à une injection de code indirecte à distance (XSS) ou à une...

Une vulnérabilité a été corrigée dans Asterisk Open Source. Elle intervient après l'envoi d'un message « Off Hook » spécialement conçu depuis un équipement enregistré. Ceci provoque la réécriture d'un pointeur à zéro et cause un déni de service.