Avis de sécurité

Plusieurs vulnérabilités non spécifiées ont été corrigées dans HP Insight Management Agents. Elles permettent d'injecter des requêtes illégitimes par rebond (CSRF, CVE-2012-2003), de rediriger des URLs vers un site arbitraire (CVE-2012-2004), d'injecter indirectement du code à distance (XSS,...

Une vulnérabilité a été corrigée dans PHP. Elle concerne l'implémentation CGI et permet de passer les arguments "-s", "-d" ou "-c" à l'interpréteur PHP. Au moyen de ces arguments un utilisateur distant peut obtenir le code source des pages ou exécuter du code arbitraire à distance.

Une vulnérabilité a été corrigée dans Citrix Provisioning Service. Un attaquant peut envoyer un message réseau spécialement conçu au service et ainsi provoquer une exécution de code arbitraire à distance.

Trois vulnérabilités ont été corrigées dans PHP. Deux d'entre-elles concernent les branches 5.3.x et 5.4.x. La dernière (CVE-2012-0831) ne concerne que la branche 5.3.x et corrige un problème lié à magic_quote_gpc lors du chargement de variables d'environnement, ce qui peut faciliter l'injection...

Plusieurs vulnérabilités ont été corrigées dans HP SNMP Agents pour les systèmes Linux. Elles peuvent être exploitées par un attaquant afin de rediriger des URLs ou d'injecter indirectement du code à distance (XSS).

Des vulnérabilités ont été corrigées dans SumatraPDF. Elles concernent les fichiers .chm et .mobi et provoquent plusieurs altérations de l'espace mémoire.

De multiples vulnérabilités ont été corrigées dans HP SIM (Systems Insight Manager). Trois systèmes d'exploitation sont concernés, HP-UX, Linux et Windows. Les vulnérabilités sont de différentes natures, exécution de code arbitraire à distance, accès non autorisés, injection de requêtes...

Une vulnérabilité permettant de contourner la politique de sécurité a été découverte dans Samba. Le problème réside dans certaines méthodes pouvant être appelées à distance (RPC) qui n'appliquent pas correctement la politique de sécurité. Cette vulnérabilité conduit à l'obtention du privilège...

Cinq vulnérabilités ont été corrigées dans Google Chrome. Trois d'entre elles concernent la libération de l'espace mémoire, deux concernent les gestions de nombre à virgule et une concerne l'interprétation XML. Les deux dernières vulnérabilités affectent IPC et ses systèmes de validations.

Cinq vulnérabilités ont été corrigées dans le produit HP NonStop. L'exploitation de ces vulnérabilités peut conduire à un déni de service à distance de l'application, à un accès non autorisé aux données ou encore à un accès non autorisé à l'application.